Грубая сила
Новые угрозы, с которыми мы сталкиваемся ежедневно в сети, не только затрагивают наше цифровое пространство, но и напрямую влияют на повседневность. С появлением искусственного интеллекта защита персональных данных стала еще более сложной задачей. Однако надежный пароль был и остается основным барьером, отделяющим ваши цифровые ценности от злоумышленников. Все остальное — это надстройка.Согласно статистике, 30 процентов общемировых утечек данных происходит из-за слабых паролей.Многие популярные сайты требуют минимум восемь символов, однако этого уже недостаточно. Для взлома такого пароля методом полного перебора или попросту «грубой силы» потребуется всего 40 секунд. При подобных атаках автоматические программы «втупую» перебирают все возможные сочетания знаков до тех пор, пока не найдется совпадение. Однако такой метод не очень эффективен: brute force с трудом справляется с длинными паролями. Так, на полный перебор 12‑значного пароля, состоящего из букв верхнего и нижнего регистра, цифр и спецсимволов потребуется уже около 30 000 лет. Казалось бы, разница всего лишь четыре символа, а по времени — целая вечность. И чем длиннее пароль, тем больше времени потребуется злоумышленнику на взлом. Но, как известно, время — деньги. Поэтому хакеры редко «брутфорсят» пароли длиннее восьми символов.
Компьютерные паразиты
Куда опаснее более продвинутые программы, которые автоматически комбинируют распространенные слова из различных информационных баз, используя часто встречающиеся сочетания.Люди стараются придумывать пароли, которые легко запомнить. В ход идут имена, дни рождения, клички питомцев и даже девичья фамилия матери. Всю эту информацию очень легко добыть, потратив немного времени на изучение ваших аккаунтов в соцсетях. Например, на основании информации об имени жертвы злоумышленник может сократить время подбора пароля в десятки, а то и сотни раз.
После анализа и формирования списка из наиболее вероятных последовательностей символов, программы автоматически генерируют все возможные варианты паролей и проверяют их в поисках сходства. Умные алгоритмы подбора научились даже определять подмену спецсимволов в словах, к примеру, «i» на «!» или «а» на «@».
Рыбный промысел
Но абсолютно неважно, насколько длинный или сложный пароль, если пользователь сам отдает его в руки хакерам. Злоумышленникам в этом деле помогает фишинг — одна из самых распространенных и опасных форм киберпреступлений: симбиоз технологий и социальной инженерии. В этом случае они маскируются под доверенные лица или организации, чтобы обманом заставить пользователей загрузить исполняемые файлы или раскрыть свои личные данные.Вредоносное ПО чаще всего попадает на устройства пользователей через электронную почту и социальные сети.
Фишинговые атаки могут принимать различные формы, но все они следуют одной и той же основной схеме в четырех актах:
♦ Сбор. Хакер собирает информацию из открытых источников, чтобы узнать как можно больше о жертвеф, ее интересах и привычках.
♦ Приманка. Злоумышленник отправляет сообщение, которое выглядит как официальное письмо от знакомого человека или организации. Это сообщение может содержать ссылку на поддельный веб-сайт или вложение с вредоносным ПО.
♦ Обман. Пользователь, доверяя отправителю, переходит по ссылке или открывает вложение. Поддельный веб-сайт может выглядеть идентично настоящему, что затрудняет его распознавание.
♦ Кража данных. Пользователь вводит свои данные на поддельном сайте, которые затем попадают в руки злоумышленников.
Относиться к своим паролям нужно как к зубной щетке: не делиться с другими и регулярно менять. От «кариеса» в полной мере это вас, конечно, не защитит, но в комплексе избавит от многих неприятных последствий.ИНТЕРЕСНЫЙ ФАКТ
«Червь Морриса» — первый хорошо задокументированный случай взлома паролей по словарю. Распространение вредоносного ПО началось 2 ноября 1988‑го, после чего сетевой червь быстро заразил примерно 6200 устройств — это около 10 процентов от всех компьютеров, подключенных в то время к интернету. На первом этапе атаки было использовано множество слов, содержащих имена пользователей. На втором — внутренний словарь, состоящий из 432 слов, распространенных в интернет-жаргоне. Далее в ход шел Unix-словарь объемом 24 474 слова. Владельцы сайтов, на которые нападал червь, сообщили, что около 50 процентов паролей было успешно взломано. Ущерб от червя Морриса был оценен примерно в 96,5 миллиона долларов.
КСТАТИ
Для кражи учетных данных мошенники используют вредоносное ПО: инфостилеры и кейлоггеры. За последние пять лет с их помощью были скомпрометированы логины и пароли пользователей на более чем 440 тысячах сайтов по всему миру.
КАК СЕБЯ ОБЕЗОПАСИТЬ:
♦ Используйте разные пароли для каждого сервиса. Если доступ к одному из аккаунтов украдут, то оставшиеся не будут скомпрометированы.
♦ Включайте двухфакторную аутентификацию везде, где это возможно. Хотя это и не имеет прямого отношения к надежности пароля.
♦ Не используйте в паролях личные данные, по которым вас можно идентифицировать. Пароли будут более надежными, если использовать в них несвязанные друг с другом слова или символы, расположенные в необычном порядке.
♦ Используйте дополнительные средства защиты на устройствах: антивирусы и фаерволы.
♦ Не скачивайте непроверенные вложения и не запускайте файлы, полученные из неизвестного источника
♦ Не вводите свои учетные данные на подозрительных ресурсах.
Время, затраченное на взлом:
В июне компания Kaspersky проанализировала 193 миллиона паролей, обнаруженных в открытом доступе в даркнете.♦ менее чем за минуту — 87 млн (45 %);
♦ не более часа — 27 млн (14 %);
♦ не более суток — 15 млн (8 %);
♦ больше года — 44 млн (23 %).