כמעט בכל שבוע, או אם להיות אופטימיים מדי חודש, נשמעות חדשות על נתונים שנגנבו על ידי האקרים שהצליחו לגנוב תעודות גישה לאתר חשוב .
האחרון בימים אלה הוא גניבת הנתונים הגדולה ביותר שהתפשטה אי פעם ברשת, עם אפילו 773 מיליון דוא"ל ו 21 מיליון סיסמאות פרוצות (הבדל זה תלוי בכך שרבים משתמשים באותה סיסמה) ופורסמו, והועמדו לרשות כולם אלה שרוצים לנסות אותם בחשבונות אינטרנט או בנק שונים.
המשמעות היא שגם אם כתובת הדוא"ל שלנו בה אנו משתמשים כדי לגשת לפייסבוק, גוגל או הבנק המקוון כלולה ברשימה העצומה הזו ומעולם לא שינינו את הסיסמה בתקופה האחרונה, כל אחד יכול לנסות זאת ולגנוב את חשבוננו בקלות . .
כרגיל, מומלץ תמיד לשנות מיד את סיסמת החשבון שעלולה להיפגע.
אבל הבעיה לא נגמרת כל כך בקלות.
קרא גם: הודעה על שינוי סיסמה אם התפשרה או שכבר נעשה בה שימוש ב- Chrome
העניין עם גניבות הסיסמאות הללו הוא: אם יש לי חשבון עם Linkedin שהסתיים ברשימות האלה שמופיעות ברשת העמוקה או שמוצעות למכירה על ידי האקרים, אם לחשבון זה השתמשתי בכתובת דוא"ל וסיסמה ש אני משתמש בו גם עבור חשבונות אחרים כמו אלה של גוגל, פייסבוק, מיקרוסופט או אחרים, אז אלה גם בסיכון מאוד ויש לשנות גם את הסיסמא שלהם.
דיברנו על הדינמיקה הזו במאמר ספציפי שהסביר בפשטות "איך נגנבים סיסמאות באינטרנט".
כפי שמסבירים מי שגילה את רשימת המיילים והסיסמאות הגנובות הזו, זהו מנהל ציד טרויה של האתר Have I Been Pwned, אנשים זדוניים ברחבי העולם, האקרים או אפילו סקרנים פשוטים, יכולים להוריד רשימות אלה המכילות את כתובות הדואר האלקטרוני שלנו. דואר וסיסמא ונסה לראות היכן הם עובדים.
ההצלחה של גישה זו מבוססת על העובדה שאנשים עושים שימוש חוזר באותה תעודות על פני מספר שירותים.
במקרה, בדיוק בשבוע שעבר כתבתי על התקפות למלא תעודות וכיצד הם הובילו אנשים רבים להאמין שספוטיפיי סבלה מהפרת נתונים. בפוסט ההוא שילבתי סרטון קצר שמראה באיזו קלות ההתקפות האלו אוטומטיות ואני רוצה לכלול אותו שוב כאן:
כדי להימנע מהפתעות מגעילות, על מנת לא להפוך לקורבן של גניבת סיסמאות בגלל אתרים או מאגרי מידע שנפרצו באינטרנט, ישנן שתי אסטרטגיות בהן ניתן להשתמש:
- בחר סיסמאות בטוחות שאי אפשר לגלות, באמצעות מנגנונים נפשיים המאפשרים לנו לזכור אותן (למשל על ידי שילוב ראשי תיבות של משפט) ושימוש בסיסמאות שונות לכל אתר או חשבון.
- השתמש במנהל סיסמאות אוטומטי, כלומר בתוכנה שמייצרת סיסמאות אקראיות לכל חשבון אינטרנט כך שהסיסמה היחידה שיש לזכור היא העיקרית.
כדי לבדוק אם כתובת הדוא"ל שלך הגיעה לרשימה מסוימת של חשבונות עם כניסות וסיסמאות שנגנבו על ידי האקרים, ישנם שלושה שירותים מקוונים בחינם שקטלגו את גניבות הנתונים השונות של היום והעבר, ומאפשרים לכולם לאמת את שניהם גם דוא"ל וגם סיסמה.
Haveibeenpwned.com, האתר שגילה את רשימת הדוא"ל הגדולה ביותר שנגנבה אי פעם, הוא אחד מהם וזה ממש קל לשימוש.
בעמוד הראשי תוכלו לבדוק מייד את כתובות הדואר האלקטרוני שלכם ולראות אם הם ברשימות שפורסמו כעת ויכולים לשמש כל אחד לניסיונות זבל או פריצה.
לדוגמה, בבדיקה שלי התברר שכתובת הדוא"ל שאני הכי משתמשת בה כדי להירשם באופן מקוון לאתרים קיימת בכמה מהרשימות הללו, כולל זו שנקראת אוסף מספר 1, זו שמשלבת דוא"ל וסיסמא שהתגלתה ממש בימים אלה. מינואר 2019.
הוא פורסם גם ברשימות אחרות, כולל זו שחולצה מ- Linkedin בשנת 2016, מ- Tumblr בשנת 2016, מ- MySpace בשנת 2008 (אז פורסם בשנת 2016) ועוד כמה אחרים.
המשמעות היא שכל חשבון בו אני משתמש בכתובת הדוא"ל ההיא עם סיסמא ללא שינוי לעומת לפני מספר שנים (או לפני מספר חודשים) נמצא בסיכון להיגנבה.
לפיכך אני נאלץ, על כל האתרים (בואו נגיד את החשובים) שבהם אני רשום עם אותה כתובת דוא"ל ושלעולם לא שיניתי את הסיסמא שלי לאחר התאריך שצוין על ידי Haveibeenpwned, לשנות את הסיסמה שלי כדי להרגיש בנוח.
עם זאת, אם כבר מדברים על סיסמאות, זה לא שאני יכול להשתמש באף אחת מהן.
בנוסף לבחירה שקשה לגלות אותה, יש צורך להשתמש גם באחד שלא מופיע ברשימות הגנובות ומפורסם ברשת.
ב- Haveibeenpwned.com, לחץ למעלה שם כתוב סיסמה כדי לבדוק את הסיסמה שלך ולראות אם התגלה הדבר ובכך נעשה חסר תועלת .
אתר אחר בו תוכלו לבצע את אותו סוג של שליטה בחשבונות שהפרו, על ידי הזנת כתובת הדוא"ל המשמשת או אפילו את שם המשתמש בכניסה, הוא breachalarm.com .
בדומה ל- Haveibeenpwned, יש בו רשימות של חשבונות שנגנבו בהתקפות הסייבר השונות של השנים האחרונות במאגר המידע שלה ויכולים לדעת לנו אם היא מצאה את הכתובת שלנו.
צג פיירפוקס הוא שירות דומה שמספק מוזילה, ואומר לנו אם כתובת הדוא"ל המשמשת להתחברות לחשבון אינטרנט אחד או יותר הייתה מעורבת בגניבת נתונים ובכך מסתכנת בסיכון להיפגע.
ניתן לבצע אוטומציה של שירות בקרת החשבון באמצעות אפליקציית Windows 10, Hacked .
האחרון בימים אלה הוא גניבת הנתונים הגדולה ביותר שהתפשטה אי פעם ברשת, עם אפילו 773 מיליון דוא"ל ו 21 מיליון סיסמאות פרוצות (הבדל זה תלוי בכך שרבים משתמשים באותה סיסמה) ופורסמו, והועמדו לרשות כולם אלה שרוצים לנסות אותם בחשבונות אינטרנט או בנק שונים.
המשמעות היא שגם אם כתובת הדוא"ל שלנו בה אנו משתמשים כדי לגשת לפייסבוק, גוגל או הבנק המקוון כלולה ברשימה העצומה הזו ומעולם לא שינינו את הסיסמה בתקופה האחרונה, כל אחד יכול לנסות זאת ולגנוב את חשבוננו בקלות . .
כרגיל, מומלץ תמיד לשנות מיד את סיסמת החשבון שעלולה להיפגע.
אבל הבעיה לא נגמרת כל כך בקלות.
קרא גם: הודעה על שינוי סיסמה אם התפשרה או שכבר נעשה בה שימוש ב- Chrome
העניין עם גניבות הסיסמאות הללו הוא: אם יש לי חשבון עם Linkedin שהסתיים ברשימות האלה שמופיעות ברשת העמוקה או שמוצעות למכירה על ידי האקרים, אם לחשבון זה השתמשתי בכתובת דוא"ל וסיסמה ש אני משתמש בו גם עבור חשבונות אחרים כמו אלה של גוגל, פייסבוק, מיקרוסופט או אחרים, אז אלה גם בסיכון מאוד ויש לשנות גם את הסיסמא שלהם.
דיברנו על הדינמיקה הזו במאמר ספציפי שהסביר בפשטות "איך נגנבים סיסמאות באינטרנט".
כפי שמסבירים מי שגילה את רשימת המיילים והסיסמאות הגנובות הזו, זהו מנהל ציד טרויה של האתר Have I Been Pwned, אנשים זדוניים ברחבי העולם, האקרים או אפילו סקרנים פשוטים, יכולים להוריד רשימות אלה המכילות את כתובות הדואר האלקטרוני שלנו. דואר וסיסמא ונסה לראות היכן הם עובדים.
ההצלחה של גישה זו מבוססת על העובדה שאנשים עושים שימוש חוזר באותה תעודות על פני מספר שירותים.
במקרה, בדיוק בשבוע שעבר כתבתי על התקפות למלא תעודות וכיצד הם הובילו אנשים רבים להאמין שספוטיפיי סבלה מהפרת נתונים. בפוסט ההוא שילבתי סרטון קצר שמראה באיזו קלות ההתקפות האלו אוטומטיות ואני רוצה לכלול אותו שוב כאן:
כדי להימנע מהפתעות מגעילות, על מנת לא להפוך לקורבן של גניבת סיסמאות בגלל אתרים או מאגרי מידע שנפרצו באינטרנט, ישנן שתי אסטרטגיות בהן ניתן להשתמש:
- בחר סיסמאות בטוחות שאי אפשר לגלות, באמצעות מנגנונים נפשיים המאפשרים לנו לזכור אותן (למשל על ידי שילוב ראשי תיבות של משפט) ושימוש בסיסמאות שונות לכל אתר או חשבון.
- השתמש במנהל סיסמאות אוטומטי, כלומר בתוכנה שמייצרת סיסמאות אקראיות לכל חשבון אינטרנט כך שהסיסמה היחידה שיש לזכור היא העיקרית.
כדי לבדוק אם כתובת הדוא"ל שלך הגיעה לרשימה מסוימת של חשבונות עם כניסות וסיסמאות שנגנבו על ידי האקרים, ישנם שלושה שירותים מקוונים בחינם שקטלגו את גניבות הנתונים השונות של היום והעבר, ומאפשרים לכולם לאמת את שניהם גם דוא"ל וגם סיסמה.
Haveibeenpwned.com, האתר שגילה את רשימת הדוא"ל הגדולה ביותר שנגנבה אי פעם, הוא אחד מהם וזה ממש קל לשימוש.
בעמוד הראשי תוכלו לבדוק מייד את כתובות הדואר האלקטרוני שלכם ולראות אם הם ברשימות שפורסמו כעת ויכולים לשמש כל אחד לניסיונות זבל או פריצה.
לדוגמה, בבדיקה שלי התברר שכתובת הדוא"ל שאני הכי משתמשת בה כדי להירשם באופן מקוון לאתרים קיימת בכמה מהרשימות הללו, כולל זו שנקראת אוסף מספר 1, זו שמשלבת דוא"ל וסיסמא שהתגלתה ממש בימים אלה. מינואר 2019.
הוא פורסם גם ברשימות אחרות, כולל זו שחולצה מ- Linkedin בשנת 2016, מ- Tumblr בשנת 2016, מ- MySpace בשנת 2008 (אז פורסם בשנת 2016) ועוד כמה אחרים.
המשמעות היא שכל חשבון בו אני משתמש בכתובת הדוא"ל ההיא עם סיסמא ללא שינוי לעומת לפני מספר שנים (או לפני מספר חודשים) נמצא בסיכון להיגנבה.
לפיכך אני נאלץ, על כל האתרים (בואו נגיד את החשובים) שבהם אני רשום עם אותה כתובת דוא"ל ושלעולם לא שיניתי את הסיסמא שלי לאחר התאריך שצוין על ידי Haveibeenpwned, לשנות את הסיסמה שלי כדי להרגיש בנוח.
עם זאת, אם כבר מדברים על סיסמאות, זה לא שאני יכול להשתמש באף אחת מהן.
בנוסף לבחירה שקשה לגלות אותה, יש צורך להשתמש גם באחד שלא מופיע ברשימות הגנובות ומפורסם ברשת.
ב- Haveibeenpwned.com, לחץ למעלה שם כתוב סיסמה כדי לבדוק את הסיסמה שלך ולראות אם התגלה הדבר ובכך נעשה חסר תועלת .
אתר אחר בו תוכלו לבצע את אותו סוג של שליטה בחשבונות שהפרו, על ידי הזנת כתובת הדוא"ל המשמשת או אפילו את שם המשתמש בכניסה, הוא breachalarm.com .
בדומה ל- Haveibeenpwned, יש בו רשימות של חשבונות שנגנבו בהתקפות הסייבר השונות של השנים האחרונות במאגר המידע שלה ויכולים לדעת לנו אם היא מצאה את הכתובת שלנו.
צג פיירפוקס הוא שירות דומה שמספק מוזילה, ואומר לנו אם כתובת הדוא"ל המשמשת להתחברות לחשבון אינטרנט אחד או יותר הייתה מעורבת בגניבת נתונים ובכך מסתכנת בסיכון להיפגע.
ניתן לבצע אוטומציה של שירות בקרת החשבון באמצעות אפליקציית Windows 10, Hacked .
