Heker pridobiva geslo

Kako hekerji pridobijo gesla: 5 načinov

Gesla so ena najpogostejših tarč spletnih napadalcev, saj z njimi pridobijo dostop do e pošte, družbenih omrežij, spletnih trgovin, bančnih storitev, poslovnih računov in različnih zasebnih podatkov. Veliko ljudi si krajo gesla predstavlja kot zelo zapleten tehnični napad, v resnici pa so številni vdori povezani s človeško nepazljivostjo, ponavljanjem istih gesel in zaupanjem napačnim sporočilom.

Prav zato je dobro poznati najpogostejše načine, s katerimi napadalci pridejo do prijavnih podatkov. Pri varnosti gesel ne gre samo za izbiro dovolj dolge kombinacije znakov, temveč za celoten način uporabe spletnih računov.

1. Lažna sporočila in phishing strani

Eden najpogostejših načinov kraje gesel so lažna sporočila, ki uporabnika prepričajo, naj se prijavi na ponarejeni strani. Gre za tako imenovani phishing napad. Napadalci pogosto posnemajo banke, dostavne službe, spletne trgovine, družbena omrežja ali znane storitve, zato je sporočilo na prvi pogled videti povsem verodostojno.

V njem običajno ustvarijo občutek nujnosti, na primer opozorilo o blokiranem računu, neuspešni dostavi ali domnevni varnostni težavi. Težava nastane, ko uporabnik klikne povezavo in svoje geslo vnese na stran, ki je samo videti kot prava. Geslo nato ne pristane pri dejanski storitvi, temveč pri napadalcu, ki ga lahko uporabi za prijavo v račun.

2. Uporaba enakega gesla na več straneh

Veliko vdorov se zgodi zato, ker ljudje isto geslo uporabljajo za več različnih računov. Če pride do vdora v eno manj varno spletno stran, se lahko ukradeni podatki pozneje preizkusijo tudi pri drugih storitvah. Napadalcu tako ni treba uganiti gesla za e pošto ali družbeno omrežje, dovolj je, da najde staro kombinacijo uporabniškega imena in gesla iz drugega vira.

Uporaba istega gesla
Eno geslo na več straneh poveča tveganje za vdor.

Ponavljanje gesel je nevarno predvsem zato, ker ena sama šibka točka ogrozi več računov hkrati. Bolj varno je, da ima vsak pomemben račun svoje edinstveno geslo, pri čemer si pomagamo z upraviteljem gesel. Na ta način si ni treba zapomniti desetine zapletenih kombinacij, hkrati pa preprečimo, da bi en ukraden podatek odprl vrata do več storitev.

3. Šibka in predvidljiva gesla

Napadalci pogosto izkoriščajo tudi gesla, ki so prekratka, preveč očitna ali povezana z osebnimi podatki. Imena otrok, rojstni datumi, imena hišnih ljubljenčkov, zaporedja številk in besede, kot so geslo, admin ali qwerty, spadajo med izbire, ki jih je najlažje predvideti. Če so podatki o osebi javno dostopni na družbenih omrežjih, postane ugibanje še lažje.

Dobro geslo naj bo dolgo, edinstveno in dovolj nepredvidljivo, da ga ni mogoče povezati z osebnim življenjem uporabnika. Namesto kratke zapletene besede je pogosto boljša daljša fraza, sestavljena iz več nepovezanih besed in dodatnih znakov.

4. Zlonamerna programska oprema

Gesla lahko napadalci pridobijo tudi prek zlonamerne programske opreme, ki se namesti na računalnik ali telefon. Do okužbe lahko pride prek sumljivih priponk, piratskih programov, lažnih posodobitev, okuženih spletnih strani ali nepreverjenih aplikacij. Nekatere oblike zlonamerne programske opreme beležijo pritiske tipk, druge iščejo shranjena gesla v brskalniku ali prestrezajo podatke med uporabo naprave.

Zlonamerna programska oprema
Zlonamerna programska oprema lahko neopazno ukrade vaša gesla.

Najboljša zaščita je previdnost pri prenosu datotek, redno posodabljanje sistema, uporaba preverjenih programov in izogibanje nelegalni programski opremi. Pomembno je tudi, da gesel ne shranjujemo na nezaščitenih mestih, na primer v navadnih dokumentih ali beležkah brez zaščite.

5. Prevare prek zaupanja in družbenega inženiringa

Včasih napadalci gesla ne ukradejo s tehničnim napadom, temveč z manipulacijo. Predstavijo se kot sodelavec, podpora uporabnikom, znanec, dostavna služba ali uradna oseba, nato pa poskušajo uporabnika prepričati, naj jim posreduje kodo, geslo ali povezavo za prijavo. Takšne spletne prevare so nevarne zato, ker ciljajo na zaupanje, strah, radovednost ali občutek nujnosti.

Gesla, varnostnih kod in povezav za ponastavitev prijave nikoli ne delimo z drugimi osebami, tudi če sporočilo zveni prepričljivo. Prava podpora uporabnikom ne potrebuje našega gesla, banka ga ne bo zahtevala po e pošti, prijatelj pa nas ne bi smel prositi za prijavno kodo. Če se zahteva zdi nenavadna, je najbolje preveriti identiteto po drugi poti, na primer s klicem ali neposrednim stikom prek uradne strani.