W jaki sposób hakerzy kradną hasła i jak się przed tym chronić? 9 popularnych metod crackerskich

calendar 22 lutego 2022
clock 6m 53s

Kradzieże haseł mogą powodować przykre konsekwencje nie tylko dla użytkowników, ale również dla organizacji. Zrozumienie, w jaki sposób do nich dochodzi, uświadamia jak ważne jest stosowanie odpowiednich zabezpieczeń. Za pomocą jakich metod hakerzy wchodzą w posiadanie haseł? Jak utrudnić im dostęp do naszych systemów, kont i aplikacji?

Historia haseł sięga znacznie dalej niż rozwój technologii komputerowej i powstanie Internetu. Już w starożytności weryfikowano w ten sposób tożsamość rozmówców, aby przekazać im tajne informacje lub dopuścić do grona „wtajemniczonych”. Wówczas również dochodziło do prób przejęcia haseł i wykorzystywania ich w niecnych celach. Dziś niewiele w kwestii tej się zmieniło, choć obecnie hasła służą głównie do zabezpieczania danych cyfrowych, a intruzi zupełnie inaczej wchodzą w ich posiadanie.

Poznaj swojego wroga

Cyberprzestępcy poprzez kradzieże haseł mogą nie tylko zyskać dostęp do prywatnych i firmowych kont, ale również w szkodliwy sposób wykorzystać poufne dane oraz zainfekować sprzęt. Atakujący sięgają po różne środki: od zgadywania, przez socjotechniki, po użycie złośliwego oprogramowania.

Jak zaznaczyliśmy we wstępie – poznanie tych metod może okazać się skuteczniejsze niż przekonywanie do stosowania odpowiednich cyberzabezpieczeń. Zgodnie z myślą autora „Sztuki wojennej” Sun Tzu – poznanie wroga jest kluczem do sukcesu.

Przyjrzyjmy się popularnym technikom kradzieży haseł i omówmy sposoby ochrony przed nimi.

1. Odgadywanie haseł

Najbardziej oczywistą metodą, niewymagającą żadnych specjalistycznych narzędzi, jest zgadywanie haseł. Powinni się jej obawiać wszyscy ci, którzy używają banalnych i popularnych haseł typu „123456”, „qwerty” czy „password”.

Hakerom – a właściwie crackerom – równie łatwo będzie złamać hasła stanowiące datę urodzin, nazwę ulubionego zespołu muzycznego lub imię czworonożnego przyjaciela. Informacje te bardzo często można znaleźć w mediach społecznościowych. Dopisanie do hasła kilku cyfr (np. „Tofik123”) niewiele zmienia.

PODSTAWOWY SPOSÓB OCHRONY:

    • twórz silne hasła, składające się z ciągów znaków / fraz językowych niemożliwych do odgadnięcia,
    • używaj menedżerów haseł.

Więcej o zasadach tworzenia silnych haseł przeczytasz w artykule „Jak stworzyć bezpieczne hasło?”

2. Atak Brute Force

Metoda podobna do powyższej, tylko w ataku Brute Force to program tworzy kombinacje popularnych słów i znaków. Narzędzie nie zestawia ze sobą jednak wszystkich istniejących możliwości. Nawet dla aplikacji byłoby to zbyt czasochłonne.

Napastnicy skupiają się na hasłach łatwych do złamania: liczących mniej niż 12 znaków, zaczynających się od powszechnych sformułowań czy związanych z atakowaną osobą.

PODSTAWOWY SPOSÓB OCHRONY:

    • twórz silne hasła, składające się z ciągów znaków / fraz językowych niemożliwych do odgadnięcia,
    • używaj menedżerów haseł.

3. Atak słownikowy

Atak słownikowy jest rodzajem ataku Bruce Force. Automat korzysta ze słownika, sprawdzając istniejące słowa w kombinacjach z symbolami, cyframi i literami. Cracker sprawdza również hasła, które wyciekły innym użytkownikom.

PODSTAWOWY SPOSÓB OCHRONY:

    • twórz silne hasła, składające się z ciągów znaków / fraz językowych niemożliwych do odgadnięcia,
    • używaj menedżerów haseł.

4. Inżynieria społeczna / socjotechnika

Inżynieria społeczna polega na skłonieniu użytkownika do wykonania określonej czynności poprzez wzbudzenie zaufania, silnych emocji bądź strachu. Kradzież hasła w tego typu ataku nie musi odbywać się z użyciem zaawansowanego oprogramowania. Co więcej: może zdarzyć się zupełnie offline. Wystarczy, że atakujący spotka się z ofiarą osobiście i przekona ją do przekazania danych. Do kradzieży haseł dochodzi również podczas rozmów telefonicznych. Napastnik, podając się za zaufaną osobę, np. za pracownika banku, prosi o przekazanie loginów i haseł.

PODSTAWOWY SPOSÓB OCHRONY:

    • nigdy nikomu nie udostępniaj swoich danych uwierzytelniających,
    • weryfikuj tożsamość każdej osoby, która żąda przekazania Twoich danych.

5. Phishing

Phishing ma na celu nakłonienie użytkownika do kliknięcia w link lub załącznik do wiadomości e-mail. Otworzony plik lub odwiedzona strona zawiera zwykle złośliwe oprogramowanie. Instaluje się ono automatycznie na komputerze ofiary, a cracker uzyskuje do niego dostęp.

Atakowany zazwyczaj jest nieświadomy zagrożenia. W jego mniemaniu wiadomość pochodzi od zaufanego nadawcy, np. współpracownika lub przełożonego. Bywa również, że użytkownik ignoruje niepokojące sygnały bądź w ogóle ich nie zauważa.

PODSTAWOWY SPOSÓB OCHRONY:

    • weryfikuj i sprawdzaj poprawność adresu nadawcy wiadomości,
    • zwracaj uwagę na treść wiadomości – czy nie zawiera błędów językowych, stylistycznych,
    • uważaj na linki i załączniki przesyłane w wiadomościach e-mail,
    • jeśli nie jesteś pewien adresata lub wiadomość wzbudza jakiekolwiek podejrzenia, skontaktuj się z nadawcą telefonicznie, aby zweryfikować czy wysłał Ci wiadomość e-mail.

Więcej o zasadach ochrony przed phishingiem przeczytasz w artykule „Phishing – jak się przed nim bronić?”

6. Złośliwe oprogramowanie

Złośliwe oprogramowanie nie musi bazować na aspektach psychologicznych. Wystarczy, że z nieodpowiedniego źródła pobierzemy zainfekowany plik lub program bądź klikniemy w nieodpowiedni przycisk na podejrzanej stronie internetowej.

Atakujący korzystają zwykle z keyloggerów i screen scraperów. W pierwszym przypadku oprogramowanie rejestruje naciśnięcia klawiszy, w drugim działania na ekranie. Crackerzy równie chętnie wykorzystują trojany typu backoor, umożliwiające zdalne kontrolowanie komputera ofiary.

PODSTAWOWY SPOSÓB OCHRONY:

    • uważaj na pliki pobierane z sieci,
    • korzystaj z zaufanych stron internetowych,
    • używaj oprogramowania antywirusowego.

7. Wi-Fi Sniffing

Wi-Fi Sniffing polega na instalacji złośliwego oprogramowania podczas logowania się do bezpłatnych sieci. Cyberprzestępcy wykorzystują istniejące punkty Wi-Fi bądź tworzą własne hotspoty o przyjaźnie brzmiących nazwach (np. „Pizzeria Toscana”).

Na niebezpieczeństwo narażamy się również, gdy mamy włączoną opcję automatycznego łączenia z sieciami Wi-Fi.

PODSTAWOWY SPOSÓB OCHRONY:

    • wyłącz funkcję automatycznego logowania do sieci Wi-Fi w swoim telefonie,
    • staraj się nie korzystać z publicznych sieci Wi-Fi, a jeśli musisz, to przestrzegaj dodatkowych zabezpieczeń, opisanych w artykule na naszym blogu.

8. Podglądanie przez ramię (Shoulder Surfing)

Technika ta jest tak banalna, że aż trudno uwierzyć jak wiele użytkowników w ogóle nie bierze jej pod uwagę i jak często za jej pomocą wykradane są hasła. Metoda – jak nazwa wskazuje – polega na podglądaniu ofiary, gdy ta wprowadza dane do logowania.

PODSTAWOWY SPOSÓB OCHRONY:

    • zachowaj czujność logując się w towarzystwie innych osób (szczególnie w przestrzeni publicznej),
    • zwracaj uwagę na kamery – czy nie są skierowane wprost na Twój monitor – w ten sposób możesz nie tylko stracić dane uwierzytelniające, ale również nieświadomie udostępnić np. poufne informacje Twojej firmy.

9. Atak „człowiek pośrodku” (Man in the Middle)

Atak „człowiek pośrodku” to kradzież danych polegająca na podsłuchu i modyfikacji wiadomości przesyłanych pomiędzy dwiema stronami. Napastnik próbuje przechwycić komunikaty, aby w rezultacie podszyć się pod jednego z nadawców.

Obrona przed tego typu atakami jest bardzo trudna. Niestety, nawet stosowanie się do poniższych metod ochrony, nie daje 100% gwarancji bezpieczeństwa.

PODSTAWOWY SPOSÓB OCHRONY:

    • sprawdzaj, czy witryna, z której korzystasz jest zaufana i czy posiada certyfikat SSL / TSL,
    • zawracaj uwagę na ostrzeżenia pojawiające się w trakcie korzystania z serwisu.

Niezabezpieczone hasło to zaproszenie do jego kradzieży

Kradzieże haseł są znacznie łatwiejsze niż mogłoby się wydawać. Nawet osoba bez doświadczenia crackerskiego jest w stanie złamać hasło, jeśli nie zostało ono odpowiednio zabezpieczone.

Mamy więc nadzieję, że opisane techniki, pomogą zrozumieć czyhające zagrożenia i zachęcą do przestrzegania podstawowych zasad ochrony. Zaznaczmy, że artykuł nie opisuje wszystkich stosowanych przez crackerów sposobów, a arsenał ich metod ciągle się powiększa.

 

Szukasz rozwiązań z zakresu cyberbezpieczeństwa dla Twojej firmy? A może chcesz wzmocnić kompetencje swojego zespołu? Sprawdź jak możemy pomóc:

Doradztwo i projektowanie rozwiązań

Outsourcing Wirtualnego Cyber Eksperta

Szkolenia dla firm

Podobne wpisy
Duqu – nowy trojan przypominający Stuxneta
calendar 28 października 2011
clock 3m 27s

Czy nowy trojan – Duqu – znaleziony na kilku komputerach na świecie może postawić na baczność największe firmy antywirusowe i specjalistów do spraw zagrożeń komputerowych? Sensacją […]
Bezpieczeństwo urządzeń końcowych i sprzętów podłączanych do komputera
calendar 16 sierpnia 2022
clock 4m 7s

Ciężko sobie wyobrazić funkcjonowanie współczesnego biznesu bez sprzętów podłączanych do sieci i siebie nawzajem. Niestety bezpieczeństwo urządzeń końcowych typu smartfony, drukarki czy skanery nie zawsze […]
Jak zapewnić cyberbezpieczeństwo w firmie, gdy na rynku brakuje specjalistów? Wywiad z Marcinem Marczewskim – CEO Resilia
calendar 14 stycznia 2023
clock 8m 49s

Każda organizacja, niezależnie od wielkości i branży, narażona jest na szereg cyberzagrożeń. Postępująca cyfryzacja i wzrost aktywności cyberprzestępców sprawia, że zapotrzebowanie na wykwalifikowanych pracowników rośnie. Jak […]

webinar DORA i NIS2

ZAPISZ SIĘ TERAZ

Skontaktuj się z nami
Resilia Sp. z o.o.
Resilia Sp. z o.o.
ul. Żurawia 43 lok. 205
00-680 Warszawa
KRS 0000379789
NIP 5222972858
REGON 142839818
telefon
+48 22 243 39 37
e-mail
[email protected]


    Wyrażam zgodę na przetwarzanie moich danych osobowych przez Resilia Sp. z o.o. w celu prowadzenia działań marketingowo-handlowych dotyczących produktów lub usług firmy w formie:


    Szczegóły dotyczące przetwarzania danych osobowych, wycofania wyrażonych zgód oraz administratora danych znajdują się w Polityce prywatności.

    Polityka prywatności
    Regulaminu świadczenia usług
    © Resilia Sp. z o.o. Wszelkie prawa zastrzeżone
    Projekt i realizacja Eager Dots
    Dziękujemy za przesłanie formularza z pytaniem. Postaramy się jak najszybciej na nie odpowiedzieć!
    Niestety formularza nie udało się wysłać. Proszę spróbować ponownie później lub skontaktować się z nami bezpośrednio.






      Wyrażam zgodę na przetwarzanie moich danych osobowych przez Resilia Sp. z o.o. w celu prowadzenia działań marketingowo-handlowych dotyczących produktów lub usług firmy w formie:


      Szczegóły dotyczące przetwarzania danych osobowych, wycofania wyrażonych zgód oraz administratora danych znajdują się w Polityce prywatności.

      Zgłoszenie zostało wysłane!