Вы делитесь информацией о своей личности всякий раз, когда создаете учетные записи в Интернете. Как вы можете защитить эту информацию?
Вы создаете учетную запись всякий раз, когда регистрируетесь на веб-сайте, в социальной сети или в приложении. Как активный пользователь Интернета, вы должны были создать несколько учетных записей, некоторые из которых вы забыли.
Многие платформы не удаляют учетные записи пользователей. Это означает, что ваша личная информация все еще находится на платформах, даже если вы не использовали их в течение длительного времени. Создание нескольких учетных записей в Интернете позволяет киберпреступникам получать вашу личную информацию с помощью атак на основе личных данных. Как именно они осуществляют эти атаки и что вы можете сделать, чтобы их остановить?
Что такое атаки на основе личных данных?
Атаки на основе личных данных происходят, когда киберпреступники нацеливаются на вашу компьютерную систему, сеть или учетную запись, чтобы получить вашу личную информацию для незаконных или злонамеренных действий. Злоумышленники, также известные как атаки с олицетворением, используют их для сбора конфиденциальных данных, кражи денег и подрыва репутации цели.
5 типов атак на основе личных данных и как они работают
Киберпреступники применяют следующие стратегии для продолжения атак на основе личных данных.
1. Фишинг
Фишинг — это когда злоумышленник связывается с вами по электронной почте, текстовым сообщениям или мгновенным сообщениям в социальных сетях для получения ценной информации под видом законного лица или учреждения. Требуемой информацией могут быть ваши банковские реквизиты и данные кредитной карты, пароли к учетным записям и другая личная информация.
Существуют общие красные флажки для выявления попыток фишинга. Обмен сообщениями, как правило, требует срочной отправки информации, содержит гиперссылки, по которым они хотят, чтобы вы щелкнули, или документы, прикрепленные к электронному письму, которое они хотят, чтобы вы открыли. Есть также старый прием делать предложения, которые слишком хороши, чтобы быть правдой.
2. Заполнение учетных данных
Заполнение учетных данных сбор данных с одной платформы и проверка их на другой платформе чтобы увидеть, будет ли это действительным. Например, злоумышленник извлекает или покупает набор данных, включая действительные имена пользователей и пароли в Facebook, и пробует учетные данные для входа в Twitter. Они будут успешными, если жертвы будут использовать одни и те же учетные данные для входа на обеих платформах.
Исследования показывают, что вставка учетных данных имеет низкий уровень успеха, но это зависит от контекста. Объем данных, которые злоумышленники получают для подмены учетных данных, исчисляется миллионами и миллиардами имен пользователей. Даже при коэффициенте успеха 0,1 они зафиксируют ощутимый успех. Ваша учетная запись может быть среди действительных записей.
3. Атаки «человек посередине»
Прослушивание — эффективный способ получить личную информацию людей без их согласия. Это то, что происходит с атаками Man-in-the-Middle. Киберпреступники стратегически позиционируют себя между вашими каналами связи. Когда вы отправляете личные данные из одного приложения в другое, они их перехватывают.
Man-in-the-Middle эффективен для атак на основе идентификации из-за незнания жертвой перехватывающего устройства. Злоумышленники могут заменить передаваемые данные вредоносным сообщением. Получатель получает сообщение злоумышленника и действует в соответствии с ним, думая, что оно было отправлено первоначальным отправителем.
4. Распыление пароля
Если вы забудете свой пароль, а затем введете несколько неправильных паролей несколько раз, вы можете быть временно заблокированы на платформе. И это потому, что система подозревает нечестную игру. Киберпреступники используют распыление паролей, чтобы избежать блокировки при попытке взлома учетных записей. Они связывают общий пароль с несколькими именами пользователей в одной сети. Система не заподозрит никаких нарушений, потому что это будет выглядеть так, как будто у нескольких пользователей были неудачные попытки входа в систему.
Злоумышленники очень доверяют распылению паролей, потому что люди используют общие слова и фразы в качестве своих паролей. Неудивительно, что из сотен имен пользователей несколько человек используют обычное слово в качестве пароля.
5. Передайте хэш
Атака с передачей хеша — это процесс, при котором злоумышленник перехватывает схему вашего пароля. Им не нужно знать или получать открытый текст вашего пароля, но его «хешированную» копию, состоящую из случайных символов.
Хакеры могут получить хешированный пароль, манипулируя протоколом New Technology LAN Manager (NTLM). Хэш пароля так же хорош, как и сам пароль. Если вы не измените пароль, хэш останется прежним. Злоумышленник может использовать его для доступа к вашей системе и получения вашей личной информации в ходе атаки на основе идентификации.
Как вы можете предотвратить атаки на основе личных данных?
Предотвращение атак на основе личных данных заключается в том, чтобы держать вашу личную информацию подальше от злоумышленников, которые ее ищут. Вот несколько способов сделать это.
1. Деактивировать неактивные учетные записи
Не принято вести учет всех онлайн-систем, в которых вы зарегистрированы. Когда учетные записи вам больше не нужны, обычно нужно двигаться дальше, не удаляя их. Но вы не знаете, что заброшенные учетные записи — это пути для векторов угроз для доступа к вашим данным. Удаление неактивных учетных записей помогает свести к минимуму раскрытие личных данных.
Создание электронной таблицы всех ваших учетных записей — хороший способ отслеживать их. Вы можете проверить менеджер паролей вашего поставщика услуг электронной почты, чтобы просмотреть все свои учетные записи и их пароли. Деактивируйте учетные записи, которыми вы не пользовались годами.
2. Внедрить многофакторную аутентификацию
Многофакторная аутентификация требует от пользователей, пытающихся получить доступ к вашей системе, несколько проверок. Это означает, что хакеру недостаточно получить ваше действительное имя пользователя и пароль для доступа к вашей учетной записи. Им потребуется подтвердить свою личность с помощью вашего адреса электронной почты, номера телефона или устройства.
Многофакторная аутентификация — это надежная защита от атак на основе личных данных, поскольку злоумышленнику необходимо иметь доступ к нескольким вашим учетным записям или устройствам, чтобы пройти проверку. Хотя есть некоторые Уязвимости многофакторной аутентификации, которые могут использовать хакеры, это, как правило, безопасно и трудно превзойти.
3. Внедрите контроль доступа с наименьшими привилегиями
Использование систем аутентификации для проверки пользователей в точке входа не означает, что все, кто прошел проверку, безвредны. Наименьшие привилегии — это принцип управления доступом, который позволяет рассматривать весь трафик и пользователей в вашей сети как подозрительные. Вместо того, чтобы открывать все области для всех, ограничивайте их доступ к тому, что их касается.
Держите ваши личные данные недоступными для других пользователей, включая сотрудников службы кибербезопасности, выполняющих техническое обслуживание и ремонт системы. Если вы должны предоставить им доступ, следите за их действиями и привлекайте их к ответственности за любые подозрительные действия.
4. Улучшить культуру паролей
Успех многих атак на основе идентификации в значительной степени зависит от паролей. Если бы вы могли защитить свои пароли, вы были бы вне поля зрения увековеченных. Ваши пароли могут быть какими угодно, только не легко угадываемыми. Держитесь подальше от общих слов и чисел, связанных с вами.
Чтобы обезопасить себя, выбирайте в качестве паролей фразы, а не слова. Что еще более важно, не используйте один пароль для более чем одной учетной записи. Создание уникальных паролей для нескольких учетных записей может быть сложным для запоминания. Вы можете преодолеть это препятствие, с помощью безопасного менеджера паролей.
5. Повышение осведомленности о кибербезопасности
Одна из величайших средств защиты от кибербезопасности, которую вы можете создать, — это понимание и опыт. Даже если вы внедрите самые сложные инструменты безопасности, вы не сможете извлечь из них максимальную пользу, не зная, как их использовать.
Ознакомьтесь с методами кибератак, как они работают и как их предотвратить. Например, если вы знакомы с фишингом, вы дважды подумаете, прежде чем нажимать или открывать странные ссылки и вложения. Неиспользование одного и того же пароля для нескольких учетных записей также спасает вас от заполнения учетных данных.
Атаки на основе личных данных начинаются с вас. Злоумышленники не смогут нацелиться на вас таким образом, если у них нет вашей личной информации. У них есть рычаги воздействия на вас в тот момент, когда они получают вашу личную информацию.
Помня о своем цифровом следе, вы можете контролировать то, что они могут получить о вас. Они не могут получить то, что недоступно.
