Конечно, зачастую во взломе паролей виноваты сами пользователя, которые пренебрегают элементарными правилами безопасности. Но существуют и другие серьезные причины взлома.
Фишинг: ловись рыбка большая и маленькая
Одним из самых популярных способов получения чужих паролей является фишинг. С английского «Fishing» переводится как «рыбалка» или «выуживание». Суть этого метода достаточно простая — пользователь попадает на знакомый ему сайт, к примеру, почтовый сервис или социальную сеть, и вводит пароль.
В чем подвох? А в том, что это не настоящий ресурс, а его копия, созданная хакерами, которая запоминает пароли. К примеру, если вы введете пароль на странице, которая копирует Mail.Ru, хакеры тут же получат доступ к вашему аккаунту.
Как правило, пользователи попадают на фишинговые сайты, переходя по ссылкам в письмах, отправленных якобы «службой поддержки». Оформление письма обычно полностью соответствует тому, которое использует настоящая служба поддержки, поэтому пользователи не замечают подвоха.
Как не стать жертвой «выуживания»? В первую очередь нужно быть внимательным и всегда смотреть на адрес сайте в адресной строке. Он может отличаться от адреса настоящего ресурса всего одной буквой, к примеру, не mail.ru, а maill.ru.
Если компьютер заражен, адресная строка может отображать правильный адрес. Однако заметить подмену все равно возможно. Для этого надо уделить внимание шифрованию. Подлинные ресурсы используют протокол https, а не http, кроме того, в адресной строке имеется значок замка. Кликнув по нему, вы можете убедиться, что соединение находится под защитой, а, следовательно, вы находитесь на настоящем сайте.
Грубая сила или как подбирают пароли
Метод «Brute Force», или «Грубая Сила» подразумевает подбор паролей. Это, пожалуй, самый известный метод взлома. Хакерам не нужно самим перебирать миллионы различных комбинаций. Все это делает специальное программное обеспечение. Причем последнее может быть установлено на вашем ПК и компьютерах сотен других пользователей, что значительно упрощает задачу. Хакеры же только получают готовый результат в виде подобранных логинов и паролей.
Следует отметить, что в последнее время задача упростилась еще больше. Утечка паролей в сеть показала, что уникальными являются менее половины паролей. А на ресурсах, где регистрируются новички, процент уникальных паролей еще меньше. Соответственно, база повторяющихся паролей значительно ускоряет процесс подбора и повышает его эффективность.
Чтобы не стать жертвой грубой силы, необходимо использовать уникальные пароли. Поможет в этом любой генератор случайных чисел. Также существуют специальные приложения, которые придумывают уникальные пароли, например, Kaspersky Password Manager или 1Password.
Кроме того, никогда не используйте один и тот же пароль для разных ресурсов. Если вдруг он будет подобран, это сочетание хакеры тут же проверят на сотнях сайтов. Примером тому служит крупная утечка паролей Gmail и Яндекс в сеть, после которой прошла волна взломов многих других ресурсов, таких как Steam, Origin и др.
Как хакеры получают пароли, взламывая сайты
Сайты не хранят пароли пользователей в чистом виде. База данных хранит только хэш, проще говоря, пароль в зашифрованном виде. Когда пользователь вводит пароль, применяется определенный алгоритм получения хэша, и если последний совпадает с тем, который хранится в базе данных, пользователь совершает вход в свой аккаунт.
Это сделано специально для того, чтобы злоумышленники, взломав сайт, не получили доступ к паролям. Однако такой способ защиты работает только в теории. Зная пароль, к примеру, получив его методом подбора, и хэш, хакеры могут вычислить алгоритм хэширования. Соответственно, хэш-база тут же становится базой с паролями.
Какую опасность несет вредоносное ПО
SpyWare, или шпионские программы, это целая категория различного вредоносного ПО. Получать пароли пользователей они могут различным способом. К примеру, кейлогеры запоминают поочередность нажатия клавиш. Некоторые приложения анализируют трафик и там находят интересующую информацию.
Как правило, SpyWare попадают на компьютеры пользователей вместе с другим программным обеспечением, к примеру, загруженным с торрентов. Отсюда вывод следующий — необходимо всегда использовать актуальную антивирусную программу, а также стараться не скачивать ПО с подозрительных ресурсов.
Социальная инженерия или как пользователи сами предоставляют информацию хакерам
Социальная инженерия — это еще один популярный способ получения паролей. Основан он на использовании особенностей психологии человека. Согласно принципам социальной инженерии, доступ к данным пользователя можно получить, воспользовавшись его слабостями или особенностями психологии.
Как известно, для восстановления доступа, многие ресурсы предлагают ответить на вопрос — назвать девичью фамилию матери, кличку собаки, любимое блюдо и т.д. Эту информацию пользователи зачастую сами выкладывают в социальных сетях. А даже если не выкладывают, могут сообщить в переписке со злоумышленником, с которым знакомство произошло в сети «случайно».
Некоторые пользователи хранят пароли и логины на ПК в текстовом документе. Этим тоже могут воспользоваться хакеры.
Был ли взломан ваш почтовый ящик
Если ваш почтовый ящик был взломан, вы об этом можете и не узнать. Чтобы иметь постоянный доступ к конфиденциальной информации, хакер не будет себя как-то проявлять. Поэтому рекомендуем проверить свой почтовый ящик на отсутствие взлома одним из специальных сервисов: Haveibeenpwned, Breachalarm.com, Pwnedlist. Принцип работы у них один и тот же — они проверяют нет ли вашего адреса в базе утечек паролей.