Anonymus pred pomaľovanou stenou
Skoro všetky online služby vyžadujú vytvorenie účtu s citlivými údajmi. Hackeri sa snažia získať vaše heslo a tak prístup k takýmto účtom, ukradnúť údaje, aby ich potom predávali, alebo použili proti vám. Ako to robia? Prejdite 10 najbežnejších spôsobov ako zistiť heslo pomocou cielených útokov.

Ako zistiť heslo?

Je dôležité si poznamenať, že zisťovanie hesiel je citlivá a potenciálne nezákonná záležitosť, ktorá môže mať vážne právne a etické dôsledky. Ak by ste sa zaujímali o túto činnosť, odporúčam, aby ste namiesto hľadania spôsobov, ako zistiť heslo, zamerajte sa skôr na bezpečnosť a ochranu. Ak ste napríklad zabudli heslo k svojmu účtu, neriskujte použitie nejakého útoku na zistenie hesla neetickým spôsobom, ale využite legálny spôsob, ako ho obnoviť. Väčšinou je to použitie funkcie na obnovu hesla. Použite ju.

Na druhej strane je potrebné sa zoznámiť aj spôsobmi, ako to robia hackeri, aby ste sa vedeli v dostatočnej miere chrániť. Práve týmito najbežnejšími spôsobmi sa môžete zoznámiť v nasledovnom zozname:

1. Phishing

Phishing je jedným z najbežnejších spôsobov, ako hackeri môžu zistiť heslo. Je druh útoku na internete, pri ktorom sa útočník vydáva za dôveryhodnú entitu, ako je banka, spoločnosť alebo iná organizácia, a snaží sa získať citlivé informácie od obete. Tento útok často zahŕňa odoslanie e-mailu s falošným odkazom na webovú stránku, ktorá vyzerá ako dôveryhodná stránka, ale je v skutočnosti vytvorená útočníkom. Keď kliknete na odkaz a zadáte svoje prihlasovacie údaje, útočník získava prístup k vašim údajom, ako sú heslá, čísla kreditných kariet alebo bankové údaje.

Ako môžete rozpoznať phishing útok

  • Neznámy odosielateľ – Ak dostanete email od neznámeho odosielateľa, ktorý vás žiada o osobné údaje alebo iné citlivé informácie
  • Odkazy v e-maile - Phishing emaily často obsahujú odkazy na falošné webové stránky, ktoré vyzerajú ako originál. Ak si nie ste istí, mali by ste sa vyhnúť kliknutiu na odkazy a namiesto toho sa prihlásiť priamo na oficiálnu stránku.
  • Naliehavosť - Phishing emaily často obsahujú naliehavé žiadosti o vaše osobné údaje alebo odkazy na stránky, ktoré tvrdia, že vaše konto je v ohrození. Ak sa vám zdá nezvyčajné, mali by ste byť opatrní a skontrolovať pravosť emailu.

2. Malware

Malware (skratka pre "malicious software") je softvér navrhnutý na získanie neoprávnenej kontroly nad počítačom alebo sieťou. Tento hackerský softvér môže byť skrytý v e-mailových prílohách, na webových stránkach, alebo dokonca v softvéri, ktorý si stiahnete a inštalujete na svoj počítač.

Malware môže byť navrhnutý na spúšťanie škodlivých aktivít, vrátane zhromažďovania citlivých informácií, vymazávania alebo zmeny dát, šírenia spamu, vydierania a ďalších nežiaducich aktivít.

Ako sa chrániť pred malware

  • Antivírový program - Nainštalujte a aktualizujte antivirusový program, ktorý môže chrániť váš počítač pred škodlivým softvérom tým, že ho skenuje a detekuje.
  • Sťahujte iba z overených zdrojov - Stiahnite si softvér iba z overených zdrojov a inštalujte ho iba po tom, čo ste si prečítali podmienky používania.
  • Aktualizácia vášho zariadenia - Aktualizácie operačného systému môžu opraviť zraniteľnosti v softvéri, ktoré by mohli umožniť útočníkom dostať sa do vášho počítača.

3. Bruteforce útoky

Brute force útok je druh útoku na heslo, pri ktorom útočník sa snaží uhádnuť správne heslo pomocou vyskúšania všetkých možných kombinácií znakov, číslic a symbolov. Útočník môže použiť softvér, ktorý automaticky generuje heslá a testuje ich. Tento druh útoku je veľmi časovo náročný a závisí od dĺžky a zložitosti hesla. Čím dlhšie a zložitejšie je heslo, tým ťažšie ho útočník uhádne.

Napriek tomu, že brute force útoky sú časovo náročné, existujú metódy, ako ich zrýchliť a zjednodušiť. Niektoré z týchto metód zahŕňajú predpokladanie hesla na základe známych informácií o používateľovi, ako napríklad jeho meno, dátum narodenia alebo miesto narodenia, alebo použitie slovníkových útokov, kde sa používajú bežne používané heslá a slová.

Ako sa chrániť pred Bruteforce útokom

  • Používajte silné heslá – Malo by byť dostatočne dlhé, má obsahovať kombináciu písmen, čísel a symbolov.
  • Zapnite dvojúrovňovú autentifikáciu – Dvojúrovňová autentifikácia (2FA) pridáva ďalšiu vrstvu bezpečnosti, ktorá znižuje riziko útoku.

4. Keylogger

Keylogger je druh softvéru alebo hardvéru, ktorý môže byť nainštalovaný na počítači alebo zariadení bez vedomia používateľa a zaznamenáva všetky klávesové stlačenia a aktivity na tomto zariadení. Tieto informácie sú potom zasielané útočníkovi, ktorý ich môže využiť na získanie citlivých informácií, ako napríklad hesiel, bankových údajov a iných osobných údajov.

Ako sa chrániť pred Keylogger útokom

  • Používajte antivírový program - Nainštalujte a aktualizujte antivirusový program, ktorý môže chrániť váš počítač pred škodlivým softvérom.
  • Sťahujte iba z overených zdrojov - Buďte opatrní pri stiahnutí a inštalácii softvéru, pretože Keylogger sa väčšinou dostane inštaláciou nebezpečného software, ktorý sa vydáva za dôveryhodný.
  • Používanie firewally - Firewally môžu blokovať prístup keyloggerov k vašim citlivým údajom a zabrániť im v odosielaní týchto údajov na vzdialený server.

5. Dictionary útoky

Dictionary útoky sú formou bruteforce útoku, ktorý sa snaží uhádnuť heslo používateľa pomocou slovníka slov a fráz. V tomto type útoku útočník používa program, ktorý generuje kombinácie slov a fráz založené na známych slovníkoch, ktoré obsahujú množstvo bežných hesiel a kombinácií. Je to veľmi podobné, resp. je Bruteforce útok. Rozdiel je v spôsobe používania zdrojových údajov, v tomto prípade slovníka slov a fráz.

Útočník si najprv zhromaždí dáta o používateľovi, napríklad meno, dátum narodenia, záľuby a iné osobné údaje, ktoré môžu byť použité ako súčasť hesla. Tieto informácie sú potom skombinované so slovníkmi a programom na generovanie hesiel, aby sa pokúsili uhádnuť heslo používateľa.

Ako sa chrániť pred Dictionary útokom

  • Používajte silné heslá – Malo by byť dostatočne dlhé, má obsahovať kombináciu písmen, čísel a symbolov.
  • Pravidelne meňte vaše heslá – Aspoň raz za rok zmeňte vaše najdôležitejšie heslá.
  • Zapnite dvojúrovňovú autentifikáciu – Tento spôsob autentifikácie pridáva ďalšiu vrstvu bezpečnosti, ktorá znižuje riziko útoku.


6. Social engineering

Pomocou sociálneho inžinierstva útočník môže získať prístup k systémom, k heslám, môže kradnúť identitu, alebo aj peniaze.  Používa sa vtedy, keď iná metóda boli ťažko zrealizovateľná. Táto forma útoku sa spolieha na manipuláciu s ľudským správaním a získava dôveru obete, aby získala informácie alebo prístup k systému. Sociálny inžinier môže použiť aj techniky, ako je vyhrážanie sa, podvádzanie alebo falšovanie informácií. Môže prebiehať formou mailu, telefonicky, alebo ich kombináciou.
Pretože social engineering útoky sa spoliehajú na ľudské správanie, sú často veľmi účinné a ťažko odhaliteľné. Jedným zo spôsobov, ako sa brániť proti nim, je zvyšovať povedomie o týchto technikách, aby ľudia boli oboznámení s týmito formami útokov a vedeli, ako sa brániť. Základným krokom je tiež byť opatrný a neodhaľovať citlivé informácie cudzím osobám alebo na neznáme webové stránky.

Príklad premysleného sociálneho inžinierstva. Podvod „Falošný bankár“

7. Wifi sniffing

Wifi sniffing je spôsob, kedy hackeri zachytávajú vašu sieťovú komunikáciu cez WiFi a snažia sa odchytiť vaše prihlasovacie údaje.

Je to proces zachytávania a monitorovania prenosu dát cez bezdrôtové WiFi siete. Tento proces umožňuje útočníkovi odchytávať, čítať a potenciálne aj upravovať nechránené dáta, ktoré sa prenášajú cez bezdrôtové pripojenie k sieti.

Ako sa chrániť pred Wifi sniffing útokom

  • Nepoužívajte nezabezpečené bezplatné WiFi siete – Nepoužívajte a hlavne sa neprihlasujte do vašich aplikácií na nezabezpečených bezplatných verejných WiFi sietiach v obchodných centrách, vo vlakoch, alebo v kaviarniach.
  • Používajte VPN - VPN (Virtual Private Network) je technológia, ktorá umožňuje používateľom pripojiť sa k sieti cez súkromné a bezpečné sieťové pripojenie
  • Vypnite funkciu automatického pripojenia k WiFi sietiam a nastavte pripojenie k WiFi sietiam manuálne.
  • Overte HTTPS pripojenie na web stránkach, ktoré používate - Použite bezpečné a overené protokoly pre komunikáciu, napríklad HTTPS namiesto HTTP.

8. Man-in-the-middle útoky

Man-in-the-middle útoky sú spôsobené hackerom, ktorý sa nachádza medzi vami a službou, ktorú používate. Útočník zachytáva vašu komunikáciu s webovou stránkou a snaží sa získať vaše prihlasovacie údaje. Sú útoky, ktoré umožňujú útočníkovi odchytiť a manipulovať s komunikáciou medzi dvoma stranami, ktoré si myslia, že sú v bezpečnej komunikácii. Útočník vstupuje do komunikácie a vytvára legitímne spojenie medzi nimi. Po tom, čo sa spojenie uskutočnilo, útočník sa stáva "stredným mužom" v komunikácii a môže zaznamenávať a dokonca meniť správy alebo informácie, ktoré sa prenášajú medzi dvoma stranami

Kedy môže vzniknúť Man-in-the-middle útok

  • Pri používaní nezabezpečených Wi-Fi sietí.
  • Pomocou phishingu, kde môže útočník získať prístupové údaje od používateľov a následne ich použiť na manipuláciu s komunikáciou.
  • Na webových stránkach, ktoré nepoužívajú HTTPS protokol.

Man-in-the-middle útoky môžu mať rôzne dôsledky. Napríklad útočník môže zmeniť bankovú transakciu tak, že finančné prostriedky budú presmerované na jeho účet namiesto legitímneho účtu.

Ako sa chrániť pred  Man-in-the-middle útokom

  • Použite bezpečné a overené protokoly pre komunikáciu, napríklad HTTPS namiesto HTTP.
  • Nepoužívajte nezabezpečené bezplatné WiFi siete – nepoužívajte a hlavne sa neprihlasujte do vašich aplikácií na nezabezpečených bezplatných verejných WiFi sietiach v obchodných centrách, vo vlakoch, alebo v kaviarniach.
  • Použite silné a bezpečné heslá a pravidelne ich meňte
  • Použite dôveryhodné softvérové aplikácie na ochranu a monitorovanie siete.

9. DDoS útoky

DDoS útok (Distributed Denial of Service) je druh kybernetického útoku, pri ktorom útočník používa množstvo počítačov a zariadení (tzv. boty) na záplavu cieľového servera alebo siete veľkým množstvom požiadaviek, aby bol nedostupný pre legitímnych používateľov. Týmto spôsobom môžu hackeri získať prístup k účtom, pretože používatelia často používajú slabé heslá.

Z užívateľského hľadiska DDoS útok môže sa prejaviť tým, že stránka bude nedostupná alebo sa bude načítavať veľmi pomaly. V takomto prípade, vy ako používateľ, nemáte v sile robiť nič, jedine počkať, alebo kontaktovať majiteľa stránky, ak máte na neho kontakt. V každom prípade môžete byť opatrný už pri registrácii a pri zdieľaní svojich údajov online. Tiež používajte jedinečné heslá a chráňte ich.

10. Hacking útoky na databázy

Ak máte účet na webovej stránke, vaše heslo uložené v databáze tejto stránky. Ak sa niekto dokáže dostať do tejto databázy, môže získať všetky heslá uložené v nej. Hacking útoky na databázy sa preto zameriavajú na získanie neoprávneného prístupu do databázových systémov. Útočníci sa snažia zistiť bezpečnostné mechanizmy priamo na webových stránkach a tak získať prístup k dátam uloženým v databáze.

Dôsledky úspešného útoku na databázu môžu byť katastrofálne, pretože útočník môže získať prístup nielen k heslám, ale aj k citlivým dátam, ako sú osobné údaje, finančné informácie alebo obchodné tajomstvá. Tieto informácie môžu byť zneužité, alebo predávané na takzvanom Darkwebe.

Ako čiastočne zistíte, že webová stránka, kde ste sa registrovali dostatočne chráni údaje

  • má silné overovanie identity používateľov
  • umožňuje zadať len silné heslo
  • núti vás zadať dvojstupňové overenie (2FA)
  • v pravidelných časových intervaloch vás vyzýva k zmene hesla
  • heslá vo svojej databáze má zašifrované
  • má zverejnené ochranu osobných údajov

Súhrn, môžete chrániť svoje heslá a svoje údaje v online

  • Používajte silné heslá - Používajte kombináciu číslic, písmen a symbolov. Váš heslo by malo byť aspoň 12 znakov dlhé.
  • Nepoužívajte rovnaké heslo na viacero služieb - Ak hacker získa vaše heslo k jednej službe, môže ho použiť na prístup k vašim účtom na iných službách.
  • Používajte 2-faktorovú autentifikáciu - 2-faktorová autentifikácia (2FA) je proces, kedy používateľ musí poskytnúť dva dôkazy o svojej identite na prístup k účtu. Tento spôsob bežne používate pri prihlasovaní do vášho internetového bankovníctva.
  • Uchovávajte heslá bezpečne - Uchovávajte vaše heslá v bezpečnom mieste, ako je napríklad heslovaná aplikácia alebo oddelene od vášho počítača, fyzicky napríklad na papieri. Nikdy ich neukladajte v otvorenom textovom dokumente na počítači alebo zdieľanom mieste.
  • Nepoužívajte verejné nezabezpečené WiFi - Ak však predsa sa chystáte používate verejné WiFi, vyvarujte sa prihlasovaniu do aplikácii. Pre každý prípad používajte VPN na takýchto WiFi sietiach.
  • Používajte aktualizovaný antivírusový softvér - Antivírusový softvér môže detekovať a odstrániť malware, ktorý môže byť použitý na získanie vašich hesiel.
  • Vnímajte podozrivé správy a e-maily - Vždy buďte opatrní pri klikaní na odkazy v mailoch alebo správach od neznámych odosielateľov. Tieto odkazy môžu byť zavedené na falošné webové stránky alebo môžu obsahovať malware.
  • Používajte VPN - Virtual Private Network (VPN) môže pomôcť chrániť vaše heslá a iné citlivé informácie tým, že šifruje vašu sieťovú komunikáciu.
  • Pravidelne meňte heslá - Pravidelná zmena  hesiel, napríklad raz za rok môže pomôcť minimalizovať riziko útokov. Ak používate veľa hesiel, zmeňte aspoň tie najdôležitejšie.
  • Pravidelne kontrolujte svoje účty - Pravidelné sledovanie vášho účtu a prihlasovanie sa na služby môže pomôcť odhaliť podozrivú aktivitu a rýchlo reagovať na možné prelomenie hesla.

Záver

Bezpečnosť hesiel a vašich osobných údajov je veľmi dôležitá a je potrebné ju brať vážne. Je dôležité, aby ste si uvedomili, že hackeri sú vždy o krok vpredu a preto by ste mali pravidelne sledovať svoje účty a používať tie správne nástroje a aplikácie na ochranu vašich hesiel a vašich dát.