Идея использовать пароль для входа в учетные записи впервые появилась у сотрудников Массачусетского технологического института. Через некоторое время эксперты научились использовать для хранения паролей хэширование — алгоритм, который хранит пару логин-пароль в зашифрованном виде.
Хэширование
При вводе пароля и логина хэш проверяется сперва логин. Если введённый логин существует, то система берёт пароль, возможно, уже захэшированный, и сравнивает его с тем, который есть во внутренней базе данных пользователей. Далее многие сайты используют для передачи трафика и информации не пару логин-пароль, а их хэши.
Удивительно, но факт — хакеры при взломе пользовательских баз получают не списки паролей, а список хэшей. Однако, для их расшифровки понадобятся годы из-за того, что для хэширования используется вычисления, которые сложно обратить вспять. Этот способ кражи логина и пароля неэффективен, даже если есть алгоритм хэширования.
Подбор паролей
Поэтому хакеры предпочитают другой метод взлома — через подбор паролей. По данным одного из исследований, 90% онлайн-аккаунтов используют один из 10 тысяч паролей. При этом многие пользователи, забыв пароль, не пытаются его вспомнить, а сразу приступают к процедуре восстановления пароля.
Если вы используете аккаунт в социальных сетях или сервисах для авторизации на сторонних сайтах, то для входа в систему используется другой метод: сайт, куда производится залогинивание, ищет по “кукам” любую информацию, чаще всего — “логин-пароль”.
Поэтому обращайте внимание на то, какие сайты сохраняют “куки”: это слишком важная информация, чтобы предоставлять её посторонним.
Также у паролей есть ещё одна уязвимость — при взломе сайта, связанного с другими веб-сервисами или приложениями, злоумышленники получают доступ к информации на сторонних сайтах. Но этот метод кражи логинов и паролей — через взлом более уязвимых ресурсов — применяется чуть чаще.
Получение пароля с помощью фишинга
Зачем тратить силы для получения логина-пароля, если пользователи по собственной невнимательности сделают это для вас? Чаще всего кража логина и пароля производится с помощью фишинговых сайтов. Эти веб-страницы маскируются по известные ресурсы, обманывая пользователей, которые вводят свои настоящие логин-пароли. После этого сайт, созданный для кражи паролей, передаёт своим разработчикам полученную информацию и она уже используется на усмотрение злоумышленников.
Например, несколько лет назад существовало несколько ресурсов, выдающих себя за сайт социальной сети “Вконтакте”. Иногда эти ресурсы обещали расширенные функции: просмотр гостей, расширенные настройки и функции. Но все они преследовали одну цель — кражу пароля от “ВКонтакте”.
Кража паролей через электронную почту
Несмотря на то, что фейк-сайты для кражи паролей являются самым распространённым способом фишинга, есть и другие угрозы для безопасности пользователя. Одним из популярных методов является рассылка по электронной почте писем от лица якобы банка или известной компании. Вы скорее всего видели эти письма, или их “родственников”, где тема письма начинается с обращения по имени от лица представителя крупной компании.
Раньше такие письма заражали компьютеры и осуществлять кражу логинов и паролей сразу после открытия. Сегодня, с развитием киберзащиты пользователей не только со стороны антивирусных компаний, но и со стороны IT-корпораций-поставщиков услуг, этот механизм уже не действует. Поэтому кибермошенники придумывают другие способы обмана.
Например, включают в письма ссылки для кражи пароля. Эта ссылка сопровождается текстом о том, что конфиденциальность под угрозой или о том, что пользователь выиграл большой приз. Перейдя по “линку” или скачав файл, пользователь уже подвергает угрозе свои личные данные — фишинг может начаться в любой момент.
Кража пароля с помощью кейлоггеров
Кроме этого, некоторые ссылки содержать программы для кражи паролей — кейлоггеры. Они умеют устанавливаться в обход панели уведомления и тайно функционировать на устройстве, собирая информацию о том, какие данные вводил пользователь с помощью клавиатуры.
Существуют и трояны для кражи паролей. К сожалению, с ними можно столкнуться в любой момент, просто неосторожно скачав подозрительный файл на устройство, которое не защищено антивирусом.
Поэтому, отвечая на вопрос “в какой момент хакеры могут украсть данные логина-пароля”, можно сказать, что в любой отрезок времени. Всё зависит от пользователя: насколько он осмотрителен и использует ли антивирусные решения.
Эксперты компании-разработчика антивирусных решений Bitdefender рекомендуют не пренебрегать установкой и обновлением программ-защитников.
А вы сталкивались с кражей паролей? Как это произошло?
