אנחנו לא זרים לפרנויה ולפיננסים אישיים מקוונים, אלא אפליקציית אינטרנט פופולריתמֶנטָהעוֹדניצח אותנובטווח הארוך. איש האבטחה והבלוגר ג'ייסון אוונס מציע טיפים כיצד הוא יוסיף שכבות אבטחה נוספות לחשבון Mint הרגיש שלך.
לפני כחודש כתבתי מאמר בשם "Mint.com בשנת 2010 - האם זה בטוח?" כמשתמש חדש רציתי להעריך באופן אובייקטיבי שיקולי פרטיות ואבטחה אמיתיים בעת השימוש באתר. וניסיתי לחשוב על זה מנקודת המבט של בודק חדירה. אם הייתי מנסה לפרוץ לחשבון של מישהו, איך יכולתי לנסות להגיע למידע של משתמש?
הערה: בסעיף הראשון, אוונס דן בדרכים שונות שבהן ניתן לנסות לפרוץ לחשבון Mint שלך - תוך שימוש בשיטות שונות במקצת מהמבט הקודם שלנובאיזו קלות ניתן לפרוץ את הסיסמאות החלשות שלך. אם כל מה שאתה רוצה לראות הם הטיפים שלו להוספת הגנה נוספת לחשבון Mint שלך, לחץכָּאןכדי לדלג ישר לקטע הזה.
הדברים הבאים אינם חדשים או ממש מקוריים. אלו הן טכניקות נפוצות בשימוש, אך עשויות להיות חדשות עבורך כקורבן. אם אתה חושב באופן שגרתי על אבטחה כשאתה מקוון, לא סביר שתיפול על זה. עם זאת, עבור משתמשים שאינם מודעים לחלק מהחולשות למטה, קיימת סבירות לפריצה מוצלחת.
המטרה בתיאור האופן שבו ניתן לפרוץ לחשבון Mint.com שלך כעת היא א) לגרום לך להיות מודע לאפשרויות וב) להבין מה אתה יכול לעשות כדי להגן על עצמך.
כוח גס עשוי לעבוד, אבל...
כפייה אכזרית של הסיסמה היא דרך אחת, אבל קצת אכזרית. אין נעילת חשבון או הודעה על ניסיונות כושלים. מבחינה טכנית אם הייתי יודע מה זה חשבון חוקי (שניתן לקבוע), יכולתי להריץ את הסקריפט במילון של סיסמאות, ואם זה לא עובד, תנסה את הסקריפט בכוח עד שהוא יקבל אותו. בהנחה ש-Mint.com לא יחסום את ניסיונות הכניסה (מה שנראה כך) אם למשתמש אין סיסמה חזקה או שתוקף יוכל לנחש את הסיסמה לפני שהקורבן משנה אותה, החשבון ייפגע.
פריצת חשבון בכוח גס עשויה להיות רועשת, גוזלת זמן ולא בדיוק אלגנטית בסטנדרטים מסוימים. עם זאת, אפשר לעשות תקיפה ממוקדת נגד מישהו תוך שימוש בשילוב של הנדסה טכנית וחברתית.
גישה חברתית יותר
חלקים לפשרה
קורבן משתמש ב-WiFi
הקורבן מחובר ל-Mint.com
קורבן בודק דוא"ל באמצעות POP או IMAP (לא מוצפן)
התוקף יכול לראות את החלק העליון של המסך של הקורבן
ההתקפה הזו מניחה שמכל סיבה שהיא, בודקים אותך. זה יכול להיות אקראי, זה יכול להיות ילדי תסריט משועממים, או שזה יכול להיות התקפה ממוקדת. אולי אתה מנהל בית ספר והתלמידים רוצים לחפור קצת עפר, הבוס של מישהו שזה עתה פוטר, או שיש לך שותף לדירה שחושב שאתה צריך לשלם יותר עבור חלקך בשכר הדירה.
זה לא בלתי מציאותי להניח שמישהו עלול להיות מחובר לחשבון שלו דרך WiFi. יכול להיות שהקורבן נמצא בבית קפה, בספרייה ציבורית, במקום מזון מהיר וכו'. בואו נקרא לזה The BreadPlace. הקישוריות ב-TheBreadPlace יכולה להיות WPA, WEP או לא מוצפנת. WEP הוא למעשה חסר ערך, למרות שהוא עדיין בשימוש.
זה גם לא מופרך שהקורבן בודק דוא"ל עם Thunderbird, Mail, Outlook או לקוחות אחרים באותו זמן שהם גולשים. המשתמש הממוצע עשוי להניח שבגלל שהוא משתמש בסיסמה לחשבון הדואר שלו מוגן. מה שהקורבן אולי לא מבין הוא שאם הם לא מצפינים או מעבירים את תעבורת הדואר האלקטרוני שלהם, שם המשתמש והסיסמה שלהם נשלחים דרך הרשת בטקסט ברור. ספקי שירותי אינטרנט מסוימים אינם מספקים אפשרות להצפין תעבורת דואר ובמקום זאת ימליצו לך להשתמש בממשק אינטרנט כדי לבדוק דואר.
כאשר הקורבן מחובר ל-Mint.com, שם המשתמש שלו מוצג בחלק העליון של המסך. בתור תוקף יש כמה דרכים שבהן יכולתי לקבל את המידע הזה. יושב לידך, מסתכל מעבר לכתף בזמן שאני עובר לידך, מעמיד פנים שאני מצלם את חבר שלי כשאני באמת מצלם אותך, או עוצר ואומר, "היי שמעתי על זה..."
ל-Mint.com תכונה שכחת סיסמה המאפשרת לך לשלוח את כתובת הדוא"ל שלך. לאחר מכן, הוא שולח לך באימייל קישור לאיפוס חשבונך לסיסמה חדשה. אין שאלות אתגר או בדיקות אבטחה. אתה פשוט משתמש בקישור Mint.com שולח לך דוא"ל.
אני יכול לקרוא את המייל שלך. אני יכול לעשות זאת מכיוון שפיצחתי בקלות את תעבורת ה-WEP או שהתחזות לנקודה החמה של ה-WiFi. חשבת שאתה משתמש ב-WiFi החינמי מ-TheBreadPlace, אבל אתה בעצם הולך קודם למחשב הנייד שלי, שם אני מרחרח את התעבורה האלחוטית שלך ואז שולח אותה לכל מקום אליו אתה הולך. ומכיוון שהשתמשת בדוא"ל ישן ופשוט ושלחת את אימות הדוא"ל שלך בטקסט ברור, אני יודע מהי הסיסמה שלך ויכול להיכנס לחשבון הדוא"ל שלך.
בשלב זה, בתור התוקף יש לי את כל מה שאני צריך. אני לא צריך לגרום לקורבן לבקש איפוס סיסמה כי אני יכול לשלוח אותה בעצמי, כי אני יודע את כתובת האימייל של החשבון. אז אני נכנס לחשבון האימייל שלך, שולח את הקישור שכחת את הסיסמה, מקבל את קישור האיפוס כאשר הוא נשלח אליך באימייל, ומוחק את המייל. מכיוון שאין שאלות אתגר, אני מקבל גישה מיידית לאיפוס חשבונך. הגדרתי סיסמה חדשה לזו שאני מכירה. לאחר מכן אני משנה את כתובת המייל בחשבון לחשבון דוא"ל אקראי שכבר הגדרתי.
בתור התוקף, עכשיו אני הבעלים של חשבון Mint.com שלך, ואני מאמין שלא יהיה לך מושג לאן נעלמו החשבון או הנתונים שלך. לא הצלחת לשחזר את החשבון או הסיסמה שלך מכיוון שהדוא"ל שלך אינו משויך עוד לחשבון. במקרה הטוב תוכל לשלוח מייל עזרה לתמיכה של Mint.com ולבקש מהם לבדוק את הנתונים שלהם כדי לראות מה קרה לחשבון שלך ומהי כתובת הדוא"ל הנוכחית. אבל כבר הרצתי צילומי מסך וצילמתי כמה שאני יכול לייצא, PDF או חשבון Evernote.
המנהלת סקינר, אני רואה אותך מה יש בארנק שלך. רכשת מ- rubberlederhosen.com לאחרונה...
לחשבון Mint.com שלך אין כרגע גישה לכתוב לאף אחד מהחשבונות הפיננסיים שלך. למה זה משנה אם החשבון שלך נפרץ? אם לא אכפת לך, או שאין לך חששות פרטיות, אז אולי זה לא משנה. אבל הבן מה אנשים יכולים ללמוד עליך אם הם אכן יקבלו גישה - ראהסעיף פגיעה בחשבוןבמאמר המקושר לפרטים.
כיצד להגן על חשבון Mint.com שלך מפני התקפות כוח אכזריות
אל תשתמש בכתובת הדוא"ל הרגילה שלך, הגדר כתובת ספציפית עבור Mint.com (תוכל להעביר אותה לכתובת האמיתית שלך כדי שעדיין תקבל התראות)
הפוך את כתובת האימייל החדשה שלך לאקראית כדי שקשה לנחש.
השתמש בסיסמה חזקה
שנה את הסיסמה שלך
אחסן את פרטי הכניסה שלך במסד נתונים של סיסמאות כמוKeePassאז אתה לא צריך לזכור את זה
כיצד להגן על חשבון Mint.com שלך מהנדסה חברתית ומהתקפת איפוס
לדעת איך לעשותהגן על האימייל שלך
הפוך את כתובת האימייל החדשה שלך לאקראית כדי שקשה לנחש
אל תציק או תעשה מניפולציות
זכור אם אתה בפומבי, היה מגן על מה שמופיע על מסך המחשב שלך
אל תלחץ על קישורים חשודים באימייל
אל תיכנס לחשבון Mint.com שלך ממחשבים ציבוריים לא מוגנים משותפים, כגון הספרייה
המלצות אחרות לבקש
אתה יכול לבקש מ-Mint.com להוסיף את הפונקציונליות הבאה
היכולת להסתיר או להשבית את הצגת שם החשבון שלך כאשר אתה מחובר
היכולת להוסיף שאלות אתגר לפונקציית איפוס הסיסמה
תהליך דו-שלבי שידרוש אישור מעקב של תהליך האיפוס
היכולת לאשר אופציונלי את האיפוס מיותר מחשבון אחד
היכולת לבצע שחזור סיסמה מכל אימייל ששייכת בעבר לחשבון שלך
אתה יכול לעקוב אחרי ג'ייסון בטוויטר@jason_owensולהירשם לשלוהזנת RSS.
איך הייתי מנסה לפרוץ את חשבון Mint.com שלך[ג'ייסון אוונס]
