למה לשנות את פרטי ההתחברות לאחר פרצת נתונים
האקרים תמיד מחפשים לנצל פגיעויות, ואי שינוי פרטי ההתחברות שלך חושף אותך להתקפות סייבר.
בין הרבעון הראשון לשני של 2023, מספר פרצות הנתונים ברחבי העולם כמעט שולש, כך עולה ממחקר של ספקית ה-VPN SurfShark.
אגנסקה סבלובסקיה, חוקרת ראשית ב-SurfShark, אף אמרה כי העלייה המהירה הזו בדליפות נתונים "מדגישה כי אמצעי הגנת המידע הנוכחיים אינם מספיקים, ומידע רגיש נותר בסיכון כיוון שפושעי סייבר ממשיכים לגשת אליו במספרים הולכים וגדלים".
אבל מהי בעצם פרצת נתונים ומדוע היא מסכנת את החשבונות והמכשירים שלכם? פרצת נתונים מתרחשת כאשר אנשים או ישויות לא מורשים מקבלים גישה למידע סודי, רגיש או מוגן. מידע זה עשוי לכלול נתונים אישיים, רשומות פיננסיות, פרטי כניסה או סוגים אחרים של מידע רגיש. חשיפת נתונים זו יקרה; ההערכה היא שפריצות נתונים עולות בממוצע 9,440,000 דולר בשנה, בארה"ב בלבד. למרבה הצער, ההשפעות לא נעצרות שם. בדו"ח של IBM , חוקרים מסבירים כי השימוש בתוכנות כופר (תוכנה זדונית שמצפינה נתונים מאחורי חומת תשלום) בקשר לפריצת נתונים גדל ב-41%, וכאשר נחקר בשנת 2022, נדרשו כתשעה חודשים אפילו לזהות ולבלום פרצה.
כאשר נתונים נחשפים במסגרת פרצת אבטחה, האקרים יכולים להשתמש בהם כדי לקדם את פעילותם הפלילית. גילוי אישורים הוא אחת השיטות האחרונות בהן משתמשים פושעי סייבר כדי לפגוע בנתונים שלך. פושעים אלה ינסו לקבל גישה לחשבונות החיוניים שלך, תוך ניצול האמת העצובה שרשימות של שמות משתמש וסיסמאות נגנבות באופן שגרתי מחברות ודולפות הן בפומבי באינטרנט והן באופן פרטי למחצה ברשת האפלה. רשימות נרחבות אלו הן המפתח להאקרים לקבלת גישה, הם משתמשים במידע זה בתיאום עם בוטים וטכניקות אוטומציה אחרות כדי לנסות את כל הצירופים האפשריים של שם משתמש וסיסמה באתרים, שירותים ורשתות מדיה חברתית מרובות.
אם אתם אף פעם לא משנים את הסיסמאות שלכם או משתמשים שוב בסיסמאות שלהם במספר שירותים, זה שימושי להפליא עבור האקרים. אם אתם משתמשים שוב בסיסמאות במספר חשבונות, עבור פושעי סייבר זה כמו להכות זהב מכיוון ששילוב שם משתמש וסיסמה זה יעבוד ויאפשר להם גישה למגוון אתרים שונים. זה יכול לגרום לקורבן לאבד בו זמנית גישה לחשבונות הדוא"ל שלו, לדפי המדיה החברתית, לפרטי הבנק ועוד.
כחלק מחקירה רחבת היקף, דיווחה התובעת הכללית של ניו יורק, לטישה ג'יימס, כי "הצמדת אישורים" (Certificate Stuffing) שימשה לפריצת 1.1 מיליון חשבונות מקוונים במתקפות סייבר ב-17 חברות ידועות . המתקפות כללו ניסיונות חוזרים ואוטומטיים לגשת לחשבונות מקוונים באמצעות שמות משתמש וסיסמאות שנגנבו משירותים מקוונים אחרים. משרד התובע הכללי (OAG) התריע בפני החברות הרלוונטיות כדי שניתן יהיה לאפס סיסמאות ולקבל הודעה מהירה לצרכנים. הם גם פרסמו "מדריך עסקי מקיף למתקפות הצמדת אישורים" המפרט את המתקפות וכיצד עסקים יכולים להגן על עצמם בעתיד.
"כרגע, ישנם יותר מ-15 מיליארד פרטי גישה גנובים שמופצים ברחבי האינטרנט, כאשר המידע האישי של המשתמשים נמצא בסכנה", אמר התובע הכללי ג'יימס . "לעסקים יש את האחריות לנקוט בפעולה מתאימה כדי להגן על חשבונות הלקוחות המקוונים שלהם, ומדריך זה מציג אמצעי הגנה קריטיים שחברות יכולות להשתמש בהם במאבק נגד גניבת פרטי גישה. עלינו לעשות כל שביכולתנו כדי להגן על המידע האישי של הצרכנים ועל פרטיותם."
מדוע חשיפה של פרטי התחברות מהווה סיכון אבטחת סייבר?
למרות שכמעט 90% מאיתנו מבינים שקיים סיכון משמעותי בשימוש חוזר באותם פרטי התחברות, 62% מהצרכנים עדיין חוזרים לעתים קרובות על סיסמאות, על פי מחקר חדש של LastPass. הסקר, שבחן את התנהגויות אבטחת הסיסמאות של 3,750 אנשי מקצוע בשבע מדינות, ניתח את תשובות המשיבים לגבי דפוסי החשיבה וההתנהגויות שלהם סביב אבטחה מקוונת. באופן מפתיע, הם מצאו שרק 12% מהמשיבים משתמשים בסיסמאות שונות עבור חשבונות מקוונים שונים. למרות שמשיבים מדור ה-Z (ילידי 1997-2012) ענו בביטחון הרב ביותר לגבי מערכות ניהול הסיסמאות שלהם ויוצרים בתחילה סיסמאות חזקות יותר עבור חשבונות מדיה חברתית ובידור, נמצא כי הם בעלי היגיינת הסיסמאות הכללית הגרועה ביותר מבין אלו שנשאלו. משיבים מדור ה-Z הכירו בסיכון של שימוש חוזר, אולם השתמשו בווריאציה של סיסמה יחידה ב-69% מהמקרים, ואחריהם הדמוגרפיה של "המילניאלס" (ילידי 1981 ו-1996) שנמצאה משתמשת בווריאציה של סיסמה יחידה ב-66% מהמקרים.
זו לא רק בעיה עבור חשבונות אישיים. דו"ח של Bitwarden, שסקר 800 מקבלי החלטות בתחום ה-IT מבריטניה וארה"ב, גילה כי 90% מהמשתמשים השתמשו שוב בסיסמאות במקום העבודה. סקר זה גילה גם כי מבין הנשאלים, 54% ניהלו סיסמאות עם מסמכים במחשב שלהם, בעוד 45% ניסו רק לשנן פרטי כניסה. בבחינת שיתוף סיסמאות במקום העבודה, נמצא כי אמצעי האבטחה לא היו טובים יותר, כאשר 38% מהנשאלים השתמשו במסמכים מקוונים משותפים, בעוד 41% פשוט שיתפו את הסיסמאות באמצעות דוא"ל. רבים בחרו בסיסמאות פשוטות, קלות לזכירה, ולכן קלות לניחוש, כגון "password" או "12345678".
אחרים השתמשו באותן סיסמאות במספר שירותים, שיתפו אותן עם חבריהם ובני משפחתם, או כתבו אותן במקום פיזי, כמו פתקית על שולחן, שיכולה בטעות להגיע לחלק האחורי של תמונות או להיראות דרך חלונות. בתגובה לכך, דו"ח Bitwarden טוען שכמחצית מהנשאלים פורסים או מתכננים לפרוס טכנולוגיה ללא סיסמה. זה כולל אימות ביומטרי כגון סורקי טביעות אצבע, תוכנות זיהוי פנים, כמו גם סיסמות.
מנכ"ל ביטוורדן, מייקל קרנדל, התייחס לעובדה שהסקר הראה רצון מצד עסקים לטכנולוגיות ש"משקפות זרימות עבודה ללא סיסמה", ואמר כי "זה לא אמור להפתיע".
"בעוד שסיסמאות חזקות וייחודיות יעילות ביותר בהגנה על נתונים, סיסמאות חלשות או סיסמאות שנעשה בהן שימוש חוזר שאינן מנוהלות על ידי מנהל סיסמאות מוצפן מקצה לקצה מציגות פגיעויות חמורות", הוסיף.
ההשלכות של גישה של האקרים למידע ההתחברות שלכם ולכן לחשבונות שלכם, הן אמיתיות מאוד ויכולות להיות מפחידות מאוד. במקרה מטריד במיוחד, הממחיש את הסכנות האמיתיות והמוחשיות של סיסמאות לא מאובטחות, האקר הצליח לפרוץ באופן וירטואלי ל"בית חכם" של זוג במילווקי, ויסקונסין. הבעלים, סמנתה ווסטמורלנד, גילתה שהתרמוסטט של Nest שלה עלה ל-90 מעלות. בהנחה שמדובר בתקלה, היא הנמיכה את הטמפרטורה, אך במהירות הוא זינק שוב. הגרוע מכל הגיע כאשר קול החל לדבר ממצלמת האבטחה של Nest שלה במטבח והרמקול שלהם החל להשמיע מוזיקה שהזוג תיאר כ"וולגרית". הזוג שינה את הסיסמאות שלו, אך הבעיות נמשכו, מה שהוביל אותם ליצור קשר עם ספק האינטרנט שלהם ולשנות את מזהה הרשת שלהם.
בסקר שנערך על ידי חוקרים ב-LastPass, התגלה רמות נמוכות של ביטחון בכל הנוגע לאבטחת סייבר, 70% מהנשאלים אמרו שהם ניטרליים לגבי שלמותם באבטחת הסייבר, בעוד שרק 24% בטוחים ו-7% "לא בטוחים". בהקשר לכך, נמצא כי 40% מהנשאלים השתמשו באימות רב-גורמי (MFA), בעוד שרק 23% השתמשו במנהל סיסמאות.
כריסטופר הוף, מנהל טכנולוגיית אבטחה ראשי ב-LastPass, ציין כי למרות שיותר אנשים מחוברים לאינטרנט מאי פעם, "ממשיך להיות נתק בין אנשים בכל הנוגע להגנה על חייהם הדיגיטליים. המציאות היא שלמרות שכמעט שני שלישים מהנשאלים בעלי השכלה כלשהי בתחום אבטחת הסייבר, היא אינה מיושמת מסיבות שונות".
הוא הוסיף כי "הן עבור צרכנים והן עבור עסקים, מנהל סיסמאות הוא צעד פשוט לשמירה על בטיחותם ומאובטחותם של החשבונות שלכם".
בחירת מנהל הסיסמאות הנכון
כשאתם מחליטים על מנהל הסיסמאות הטוב ביותר, חשוב לקחת בחשבון את צרכי המשתמש שלכם. מקום טוב להתחיל בו הוא התקציב שלכם, מוצרים חינמיים רבים מציעים שירות סביר, אך אם אתם רוצים ליהנות מאבטחה חזקה יותר, תכונות נוספות או יותר שיתוף, תצטרכו לבחור בשירות בתשלום. הקפידו גם לשקול אם תעברו בין מספר מכשירים, כמו בין מחשב נייד לטלפון נייד, ולבדוק כמה מכשירים מאפשרות תוכניות שונות. אם יש מספר משתמשים במשק הבית שלכם, שקלו מנהלי סיסמאות המאפשרים תוכנית תשלום משפחתית שתכסה את כל החברים ואת המכשירים המרובים שלהם. הקפידו גם לוודא שכל מנהלי הסיסמאות יעבדו במגוון המכשירים שבהם אתם משתמשים, כולל מוצרי Windows, Apple ו-Android.
עם זאת, כלים אלו, שנראים חזקים במיוחד, אינם חפים מפגיעויות. הודעת ייעוץ של גוגל שפורסמה בשנת 2023 הדגישה פגם מדאיג שבו מספר מנהלי סיסמאות עלולים להיות מוטעים באופן ערמומי ולמלא אוטומטית אישורים באתרים לא מורשים. חשוב להישאר ערניים מכיוון שמנהלי סיסמאות מקוונים מהווים סיכונים משלהם, למרות שהם מעלים את תקני האבטחה הרגילים, הם אינם יכולים להציע חסינות מוחלטת. פושעי סייבר מסוגלים להערים על מנהלי סיסמאות גדולים על ידי מניפולציה מיומנת של רכיבי אתרים או יצירת אתרי פישינג משכנעים להפליא. זאת, לצד משתמשים שאינם בודקים מקרוב את האותנטיות של האתר ובמקום זאת מסתמכים על תכונת המילוי האוטומטי, עלולים להוביל במהירות לפריצות מסוכנות לחשבון.
שיטות עבודה מומלצות לשימוש במנהלי סיסמאות כוללות יצירת סיסמאות חזקות. ודאו שאתם מפחיתים את הפגיעויות שלכם על ידי:
1- שילוב תווים אלפאנומריים: למרות שהוספת אותיות גדולות וקטנות לא בהכרח תשפר את חוזק הסיסמה באופן דרסטי, הכללתן יכולה לחזק את ההגנות.
2. הארכה: רצפי דמויות מורחבים עלולים לאתגר משמעותית את ניסיונות השחזור.
3. שילוב סמלים: הכללת סמלים הוכחה כיעילה יותר מאשר מעבר בין אותיות גדולות לאותיות קטנות.
4. תנו עדיפות לחוסר ודאות: יצירת סיסמאות לא קונבנציונליות היא המפתח. הימנעו מהפיתוי של מילים במילון או רצפים צפויים.
הבנת הסכנות הפוטנציאליות הנשקפות מתכונות מילוי אוטומטי היא חלק בלתי נפרד מהגנה מקיפה. השבת את פונקציית המילוי האוטומטי ובחר במקום זאת בהפעלה ידנית, תוך שמירה של הפעלות מילוי אוטומטי רק לאחר שאתה בטוח באותנטיות האתר.