W jaki sposób hakerzy kradną hasła i jak się przed tym chronić? 9 popularnych metod crackerskich

clock 6m 53s

Kradzieże haseł mogą powodować przykre konsekwencje nie tylko dla użytkowników, ale również dla organizacji. Zrozumienie, w jaki sposób do nich dochodzi, uświadamia jak ważne jest stosowanie odpowiednich zabezpieczeń. Za pomocą jakich metod hakerzy wchodzą w posiadanie haseł? Jak utrudnić im dostęp do naszych systemów, kont i aplikacji?

Historia haseł sięga znacznie dalej niż rozwój technologii komputerowej i powstanie Internetu. Już w starożytności weryfikowano w ten sposób tożsamość rozmówców, aby przekazać im tajne informacje lub dopuścić do grona „wtajemniczonych”. Wówczas również dochodziło do prób przejęcia haseł i wykorzystywania ich w niecnych celach. Dziś niewiele w kwestii tej się zmieniło, choć obecnie hasła służą głównie do zabezpieczania danych cyfrowych, a intruzi zupełnie inaczej wchodzą w ich posiadanie.

Poznaj swojego wroga

Cyberprzestępcy poprzez kradzieże haseł mogą nie tylko zyskać dostęp do prywatnych i firmowych kont, ale również w szkodliwy sposób wykorzystać poufne dane oraz zainfekować sprzęt. Atakujący sięgają po różne środki: od zgadywania, przez socjotechniki, po użycie złośliwego oprogramowania.

Jak zaznaczyliśmy we wstępie – poznanie tych metod może okazać się skuteczniejsze niż przekonywanie do stosowania odpowiednich cyberzabezpieczeń. Zgodnie z myślą autora „Sztuki wojennej” Sun Tzu – poznanie wroga jest kluczem do sukcesu.

Przyjrzyjmy się popularnym technikom kradzieży haseł i omówmy sposoby ochrony przed nimi.

1. Odgadywanie haseł

Najbardziej oczywistą metodą, niewymagającą żadnych specjalistycznych narzędzi, jest zgadywanie haseł. Powinni się jej obawiać wszyscy ci, którzy używają banalnych i popularnych haseł typu „123456”, „qwerty” czy „password”.

Hakerom – a właściwie crackerom – równie łatwo będzie złamać hasła stanowiące datę urodzin, nazwę ulubionego zespołu muzycznego lub imię czworonożnego przyjaciela. Informacje te bardzo często można znaleźć w mediach społecznościowych. Dopisanie do hasła kilku cyfr (np. „Tofik123”) niewiele zmienia.


PODSTAWOWY SPOSÓB OCHRONY:

    • twórz silne hasła, składające się z ciągów znaków / fraz językowych niemożliwych do odgadnięcia,
    • używaj menedżerów haseł.

Więcej o zasadach tworzenia silnych haseł przeczytasz w artykule „Jak stworzyć bezpieczne hasło?”


2. Atak Brute Force

Metoda podobna do powyższej, tylko w ataku Brute Force to program tworzy kombinacje popularnych słów i znaków. Narzędzie nie zestawia ze sobą jednak wszystkich istniejących możliwości. Nawet dla aplikacji byłoby to zbyt czasochłonne.

Napastnicy skupiają się na hasłach łatwych do złamania: liczących mniej niż 12 znaków, zaczynających się od powszechnych sformułowań czy związanych z atakowaną osobą.


PODSTAWOWY SPOSÓB OCHRONY:

    • twórz silne hasła, składające się z ciągów znaków / fraz językowych niemożliwych do odgadnięcia,
    • używaj menedżerów haseł.

3. Atak słownikowy

Atak słownikowy jest rodzajem ataku Bruce Force. Automat korzysta ze słownika, sprawdzając istniejące słowa w kombinacjach z symbolami, cyframi i literami. Cracker sprawdza również hasła, które wyciekły innym użytkownikom.


PODSTAWOWY SPOSÓB OCHRONY:

    • twórz silne hasła, składające się z ciągów znaków / fraz językowych niemożliwych do odgadnięcia,
    • używaj menedżerów haseł.

4. Inżynieria społeczna / socjotechnika

Inżynieria społeczna polega na skłonieniu użytkownika do wykonania określonej czynności poprzez wzbudzenie zaufania, silnych emocji bądź strachu. Kradzież hasła w tego typu ataku nie musi odbywać się z użyciem zaawansowanego oprogramowania. Co więcej: może zdarzyć się zupełnie offline. Wystarczy, że atakujący spotka się z ofiarą osobiście i przekona ją do przekazania danych. Do kradzieży haseł dochodzi również podczas rozmów telefonicznych. Napastnik, podając się za zaufaną osobę, np. za pracownika banku, prosi o przekazanie loginów i haseł.


PODSTAWOWY SPOSÓB OCHRONY:

    • nigdy nikomu nie udostępniaj swoich danych uwierzytelniających,
    • weryfikuj tożsamość każdej osoby, która żąda przekazania Twoich danych.

5. Phishing

Phishing ma na celu nakłonienie użytkownika do kliknięcia w link lub załącznik do wiadomości e-mail. Otworzony plik lub odwiedzona strona zawiera zwykle złośliwe oprogramowanie. Instaluje się ono automatycznie na komputerze ofiary, a cracker uzyskuje do niego dostęp.

Atakowany zazwyczaj jest nieświadomy zagrożenia. W jego mniemaniu wiadomość pochodzi od zaufanego nadawcy, np. współpracownika lub przełożonego. Bywa również, że użytkownik ignoruje niepokojące sygnały bądź w ogóle ich nie zauważa.


PODSTAWOWY SPOSÓB OCHRONY:

    • weryfikuj i sprawdzaj poprawność adresu nadawcy wiadomości,
    • zwracaj uwagę na treść wiadomości – czy nie zawiera błędów językowych, stylistycznych,
    • uważaj na linki i załączniki przesyłane w wiadomościach e-mail,
    • jeśli nie jesteś pewien adresata lub wiadomość wzbudza jakiekolwiek podejrzenia, skontaktuj się z nadawcą telefonicznie, aby zweryfikować czy wysłał Ci wiadomość e-mail.

Więcej o zasadach ochrony przed phishingiem przeczytasz w artykule „Phishing – jak się przed nim bronić?”


6. Złośliwe oprogramowanie

Złośliwe oprogramowanie nie musi bazować na aspektach psychologicznych. Wystarczy, że z nieodpowiedniego źródła pobierzemy zainfekowany plik lub program bądź klikniemy w nieodpowiedni przycisk na podejrzanej stronie internetowej.

Atakujący korzystają zwykle z keyloggerów i screen scraperów. W pierwszym przypadku oprogramowanie rejestruje naciśnięcia klawiszy, w drugim działania na ekranie. Crackerzy równie chętnie wykorzystują trojany typu backoor, umożliwiające zdalne kontrolowanie komputera ofiary.


PODSTAWOWY SPOSÓB OCHRONY:

    • uważaj na pliki pobierane z sieci,
    • korzystaj z zaufanych stron internetowych,
    • używaj oprogramowania antywirusowego.

7. Wi-Fi Sniffing

Wi-Fi Sniffing polega na instalacji złośliwego oprogramowania podczas logowania się do bezpłatnych sieci. Cyberprzestępcy wykorzystują istniejące punkty Wi-Fi bądź tworzą własne hotspoty o przyjaźnie brzmiących nazwach (np. „Pizzeria Toscana”).

Na niebezpieczeństwo narażamy się również, gdy mamy włączoną opcję automatycznego łączenia z sieciami Wi-Fi.


PODSTAWOWY SPOSÓB OCHRONY:

    • wyłącz funkcję automatycznego logowania do sieci Wi-Fi w swoim telefonie,
    • staraj się nie korzystać z publicznych sieci Wi-Fi, a jeśli musisz, to przestrzegaj dodatkowych zabezpieczeń, opisanych w artykule na naszym blogu.

8. Podglądanie przez ramię (Shoulder Surfing)

Technika ta jest tak banalna, że aż trudno uwierzyć jak wiele użytkowników w ogóle nie bierze jej pod uwagę i jak często za jej pomocą wykradane są hasła. Metoda – jak nazwa wskazuje – polega na podglądaniu ofiary, gdy ta wprowadza dane do logowania.


PODSTAWOWY SPOSÓB OCHRONY:

    • zachowaj czujność logując się w towarzystwie innych osób (szczególnie w przestrzeni publicznej),
    • zwracaj uwagę na kamery – czy nie są skierowane wprost na Twój monitor – w ten sposób możesz nie tylko stracić dane uwierzytelniające, ale również nieświadomie udostępnić np. poufne informacje Twojej firmy.

9. Atak „człowiek pośrodku” (Man in the Middle)

Atak „człowiek pośrodku” to kradzież danych polegająca na podsłuchu i modyfikacji wiadomości przesyłanych pomiędzy dwiema stronami. Napastnik próbuje przechwycić komunikaty, aby w rezultacie podszyć się pod jednego z nadawców.

Obrona przed tego typu atakami jest bardzo trudna. Niestety, nawet stosowanie się do poniższych metod ochrony, nie daje 100% gwarancji bezpieczeństwa.


PODSTAWOWY SPOSÓB OCHRONY:

    • sprawdzaj, czy witryna, z której korzystasz jest zaufana i czy posiada certyfikat SSL / TSL,
    • zawracaj uwagę na ostrzeżenia pojawiające się w trakcie korzystania z serwisu.

Niezabezpieczone hasło to zaproszenie do jego kradzieży

Kradzieże haseł są znacznie łatwiejsze niż mogłoby się wydawać. Nawet osoba bez doświadczenia crackerskiego jest w stanie złamać hasło, jeśli nie zostało ono odpowiednio zabezpieczone.

Mamy więc nadzieję, że opisane techniki, pomogą zrozumieć czyhające zagrożenia i zachęcą do przestrzegania podstawowych zasad ochrony. Zaznaczmy, że artykuł nie opisuje wszystkich stosowanych przez crackerów sposobów, a arsenał ich metod ciągle się powiększa.

 

Szukasz rozwiązań z zakresu cyberbezpieczeństwa dla Twojej firmy? A może chcesz wzmocnić kompetencje swojego zespołu? Sprawdź jak możemy pomóc:

Doradztwo i projektowanie rozwiązań

Outsourcing Wirtualnego Cyber Eksperta

Szkolenia dla firm

Skontaktuj się z nami
Resilia Sp. z o.o.
Resilia Sp. z o.o.
ul. Żurawia 43 lok. 205
00-680 Warszawa
KRS 0000379789
NIP 5222972858
REGON 142839818

    Wyrażam zgodę na przetwarzanie moich danych osobowych w postaci imienia, nazwiska, nr telefonu, adresu e-mail przez Resilia Spółka z o.o. w celu prowadzenia działań marketingowych dotyczących jej produktów lub usług, w tym przesyłania informacji handlowych, w formie:


    Zapoznałem(-am) się z Regulaminem Usługi Newsletter i akceptuję go w całości.


    Podanie danych osobowych oraz wyrażenie zgody na ich przetwarzanie i/lub otrzymywanie newslettera jest dobrowolne.

    Zgoda na przetwarzanie danych osobowych może zostać wycofana w dowolnym momencie przez złożenie oświadczenia – pisemnie – na adres Resilia sp. z o. o. ul. Żurawia 43 lok 205, 00-680 Warszawa lub elektronicznie – na adres kontakt@resilia.pl

    Administratorem Pana/Pani danych osobowych jest Resilia Spółka z o.o. Więcej o przetwarzaniu danych osobowych w związku ze skorzystaniem z formularza kontaktowego oraz usługą newsletter w Polityce prywatności.

    Dziękujemy za przesłanie formularza z pytaniem. Postaramy się jak najszybciej na nie odpowiedzieć!
    Niestety formularza nie udało się wysłać. Proszę spróbować ponownie później lub skontaktować się z nami bezpośrednio.

      Wyrażam zgodę na przetwarzanie moich danych osobowych w postaci imienia,
      nazwiska, nr telefonu, adresu e-mail przez Resilia Spółka z o.o. w celu
      prowadzenia działań marketingowych dotyczących jej produktów lub usług, w
      tym przesyłania informacji handlowych, w formie:



      Podanie danych osobowych oraz wyrażenie zgody na ich przetwarzanie i/lub
      otrzymywanie newslettera jest dobrowolne.

      Zgoda na przetwarzanie danych osobowych może zostać wycofana w dowolnym
      momencie przez złożenie oświadczenia – pisemnie – na adres Resilia sp. z o.
      o. ul. Żurawia 43 lok 205, 00-680 Warszawa lub elektronicznie – na adres
      kontakt@resilia.pl

      Administratorem Pana/Pani danych osobowych jest Resilia Spółka z o.o. Więcej
      o przetwarzaniu danych osobowych w związku z zapisem na szkolenie lub
      webinar oraz usługą newsletter w Polityce prywatności.