Índice:
Vídeo: This is How Hackers Crack Passwords! 2024
O cracking de senha é um dos hacks mais agradáveis para os bandidos. Isso alimenta o senso de exploração e o desejo de descobrir um problema. Um hacker pode usar métodos de baixa tecnologia para quebrar senhas. Esses métodos incluem o uso de técnicas de engenharia social, ombro no surf e simplesmente adivinhar senhas de informações que ele conhece sobre o usuário.
Engenharia social
O método mais popular de baixa tecnologia para a recolha de senhas é engenharia social . A engenharia social aproveita a natureza confiante dos seres humanos para obter informações que mais tarde podem ser usadas maliciosamente. Uma técnica comum de engenharia social é simplesmente convencer as pessoas a divulgar suas senhas. Parece ridículo, mas acontece o tempo todo.
Técnicas
Para obter uma senha através de engenharia social, basta pedir. Por exemplo, você pode simplesmente chamar um usuário e dizer-lhe que ele tem alguns e-mails de aspecto importante presos na fila de mensagens, e você precisa de sua senha para fazer login e liberá-los. Muitas vezes, isso é, como os hackers e os instigadores tentam obter a informação!
Uma fraqueza comum que pode facilitar essa engenharia social é quando os nomes dos funcionários, números de telefone e endereços de e-mail são publicados nos sites da sua empresa. Sites de redes sociais como LinkedIn, Facebook e Twitter também podem ser usados contra uma empresa porque esses sites podem revelar os nomes dos funcionários e as informações de contato.
Contramedidas
A conscientização do usuário e treinamento de segurança consistente são grandes defesas contra a engenharia social. As ferramentas de segurança são um bom fail-safe se monitorarem esses e-mails e navegação na web no nível do host, no perímetro da rede ou na nuvem.
Força usuários para detectar ataques e responder de forma eficaz. Sua melhor resposta é não divulgar qualquer informação e alertar o gerente de segurança da informação apropriado na organização para verificar se o inquérito é legítimo e se uma resposta é necessária. Ah, e tire esse diretório de pessoal do seu site ou, pelo menos, remova a informação dos membros da equipe de TI.
Ombro surfando
Ombro surfando (o ato de olhar o ombro de alguém para ver o que a pessoa está digitando) é um hack de senha eficaz e de baixa tecnologia.
Técnicas
Para montar este ataque, os bandidos devem estar perto de suas vítimas e não parecer óbvias. Eles simplesmente coletam a senha observando o teclado ou a tela do usuário quando a pessoa faz logon.
Um atacante com um bom olho pode até observar se o usuário está olhando em volta da sua mesa para lembrar a senha ou a própria senha.Câmeras de segurança ou uma webcam podem até ser usadas para tais ataques. Cafés e aviões fornecem os cenários ideais para o ombro a surfar.
Você pode tentar surfar a ombro sozinho. Basta andar pelo escritório e realizar verificações aleatórias. Acesse as mesas dos usuários e peça-lhes para fazer login em seus computadores, na rede ou mesmo em seus aplicativos de e-mail. Apenas não diga o que você está fazendo de antemão, ou eles podem tentar ocultar o que eles estão digitando ou onde eles estão procurando por sua senha. Apenas tenha cuidado ao fazer isso e respeite a privacidade de outras pessoas.
Contramedidas
Incentive os usuários a estar atentos aos seus arredores e a não inserirem suas senhas quando suspeitarem que alguém está olhando sobre seus ombros. Instrua os usuários que, se suspeitarem que alguém está olhando por cima dos ombros enquanto eles estão logando, eles devem educadamente pedir a pessoa para desviar o olhar ou, quando necessário, lançar um epíteto apropriado para mostrar ao agressor que o usuário é sério.
Muitas vezes, é mais fácil simplesmente inclinar-se na linha de visão do surfista do ombro para impedir que eles vejam qualquer digitação e / ou a tela do computador. Os filtros de privacidade 3M também funcionam bem.
Inferência
Inferência é simplesmente adivinhar senhas de informações que você conhece sobre os usuários - como a data de nascimento, o programa de televisão favorito ou os números de telefone. Parece bobo, mas os criminosos geralmente determinam as senhas de suas vítimas simplesmente adivinhando-os!
A melhor defesa contra um ataque de inferência é educar os usuários sobre como criar senhas seguras que não incluem informações que possam ser associadas a elas. Fora de certos filtros de complexidade de senha, muitas vezes não é fácil fazer cumprir esta prática com controles técnicos. Então, você precisa de uma política de segurança sólida e conscientização e treinamento de segurança contínua para lembrar aos usuários a importância da criação segura de senha.
Autenticação fraca
Os invasores externos e os iniciados maliciosos podem obter - ou simplesmente evitar ter que usar - senhas, aproveitando os sistemas operacionais mais antigos ou não garantidos que não exigem senhas para fazer login. O mesmo acontece com um telefone ou tablet que não está configurado para usar senhas.
Ignorar autenticação
Em sistemas operacionais mais antigos que solicitam uma senha, você pode pressionar Esc no teclado para entrar. Ok, é difícil encontrar sistemas Windows 9 x atualmente, mas o mesmo acontece com qualquer sistema operacional - antigo ou novo - configurado para ignorar a tela de login.
Depois de entrar, você pode encontrar outras senhas armazenadas em lugares como conexões dial-up e VPN e proteções de tela. Tais senhas podem ser quebradas com facilidade usando a ferramenta de Recuperação de Senha do Sistema Proativo da Elcomsoft e Cain & Abel. Esses sistemas fracos podem servir como máquinas confiáveis - o que significa que as pessoas assumem que são seguras - e também oferecem boas almofadas de inicialização para ataques de senha baseados em rede.
Contramedidas
A única defesa verdadeira contra autenticação fraca é garantir que seus sistemas operacionais exigem uma senha no início.Para eliminar esta vulnerabilidade, pelo menos atualizar para o Windows 7 ou 8 ou usar as versões mais recentes do Linux ou um dos vários sabores do UNIX, incluindo o Mac OS X.
