Χάκερ αποκαλύπτει: «Αυτά είναι τα 5 λάθη που μου επιτρέπουν να παραβιάσω το smartphone σας μέσα σε δευτερόλεπτα»
Ο σύμβουλος ασφαλείας της Prism Infosec, Kieran Burge, αποκάλυψε τα πέντε συνηθισμένα λάθη που θα μπορούσαν να επιτρέψουν σε έναν χάκερ να αποκτήσει πρόσβαση στο smartphone σας μέσα σε λίγα δευτερόλεπτα.
Ο Kieran είναι ένα νόμιμος χάκερ που τεστάρει την κυβερνοασφάλεια των εταιρειών για να βρει αδυναμίες και ευπάθειες πριν τις βρουν οι εγκληματίες και τις εκμεταλλευτούν.
Όπως τονίζει, απλά λάθη όπως η επαναχρησιμοποίηση κωδικών πρόσβασης, το κλικ σε ύποπτους συνδέσμους και η κοινοποίηση υπερβολικών πληροφοριών στα social media μπορεί να σας βάλουν σε μπελάδες.
Τα πέντε λάθη που επιτρέπουν στους χάκερ να παραβιάσουν τα smartphone σας:
- Χρήση ξεπερασμένου λογισμικού
- Επαναχρησιμοποίηση κωδικών πρόσβασης
- Αποκάλυψη πολλών πληροφοριών στο διαδίκτυο
- Σύνδεση σε μη προστατευμένα δημόσια δίκτυα
- Κλικ σε ύποπτα link
Χρήση ξεπερασμένου λογισμικού
Ο Keiran δήλωσε στην MailOnline ότι ένα από τα πρώτα πράγματα που ο ίδιος και άλλοι χάκερ αναζητούν όταν προετοιμάζουν μια επίθεση είναι το ξεπερασμένο λογισμικό. «Το ξεπερασμένο λογισμικό είναι ένα πραγματικά μεγάλο ζήτημα, διότι, αν το λογισμικό έχει ενημερωθεί, είναι πιθανότατα επειδή υπήρξε κάποιο ζήτημα ασφαλείας», εξήγησε.
Το λογισμικό, είτε πρόκειται για το λειτουργικό σύστημα του iPhone σας είτε για το σύστημα ελέγχου ενός εργοστασίου, συχνά έχει κάποιου είδους ευπάθεια. Ενώ αυτά μπορούν να διορθωθούν γρήγορα από τους προγραμματιστές, συχνά μοιράζονται επίσης στο διαδίκτυο μέσω φόρουμ και κοινοτήτων χάκερ.
«Εάν δεν έχετε ενημερώσει το λογισμικό σας ώστε να περιλαμβάνει τη διόρθωση, οι χάκερ μπορούν να εισέλθουν και να κλέψουν πραγματικά ευαίσθητες πληροφορίες, ακόμη και μερικές φορές να πάρουν τον έλεγχο του λογισμικού» ανέφερε ο Keiran.
Οι ευπάθειες μπορούν να πάρουν πολλές διαφορετικές μορφές και να επιτρέψουν στους εγκληματίες να προκαλέσουν σοβαρή αναστάτωση σε εταιρείες και ιδιώτες. Οι επιθέσεις αυτές είναι συχνά ευκαιριακές, καθώς εγκληματικές ομάδες σαρώνουν διαδικτυακά αρχεία για ξεπερασμένες εκδόσεις λογισμικού.
Για να είστε ασφαλείς στο διαδίκτυο, πρέπει «να διασφαλίζετε πάντα ότι το λογισμικό σας είναι ενημερωμένο».
Επαναχρησιμοποίηση κωδικών πρόσβασης
Ένας άλλος συνήθης τρόπος με τον οποίο οι χάκερ αποκτούν πρόσβαση στα προσωπικά σας δεδομένα είναι η εκμετάλλευση επαναχρησιμοποιημένων κωδικών πρόσβασης, σύμφωνα με τον Keiran.
«Ανεξάρτητα από τον ιστότοπο στον οποίο δίνετε πληροφορίες, δεν ξέρετε τι πρόκειται να κάνουν με αυτές τις πληροφορίες ή πώς θα τις προστατεύσουν» ανέφερε. «Ο μεγάλος κίνδυνος από την επαναχρησιμοποίηση κωδικών πρόσβασης είναι ότι αν παραβιαστεί έστω και ένας ιστότοπος που χρησιμοποιείτε, μπορεί να δώσει στους χάκερ πρόσβαση σε όλους τους λογαριασμούς σας».
«Μόλις παραβιαστεί μια εταιρεία, συνήθως υπάρχει μια μεγάλη απόρριψη βάσης δεδομένων που βγαίνει στο darkweb» πρόσθεσε.
Το darkweb είναι ένα κρυπτογραφημένο τμήμα του διαδικτύου που δεν είναι προσβάσιμο με τις συνήθεις μηχανές αναζήτησης και χρησιμοποιείται συχνά για τη φιλοξενία εγκληματικών αγορών. Τον Απρίλιο του 2023, μια διεθνής επιχείρηση διέλυσε μία ομάδα χάκερ με την ονομασία Genesis Market, η οποία, σύμφωνα με το FBI, προσέφερε πρόσβαση σε πάνω από 80 εκατομμύρια διαπιστευτήρια πρόσβασης λογαριασμών.
«Θα υπάρχουν βάσεις δεδομένων εκεί έξω με συνδυασμούς ονομάτων χρηστών και κωδικών πρόσβασης για τους λογαριασμούς σας. Εάν επαναχρησιμοποιείτε κωδικούς πρόσβασης, τότε οποιοσδήποτε χάκερ μπορεί να πάρει αυτόν τον συνδυασμό και να τον χρησιμοποιήσει για να πάρει τον έλεγχο μιας άλλης εταιρείας» συμπλήρωσε ο Keiran .
Αποκάλυψη πολλών πληροφοριών στο διαδίκτυο
«Σε προσωπικό επίπεδο, για κάποιον στις καθημερινές του δραστηριότητες, ένα από τα πιο σημαντικά πράγματα που πρέπει να σκεφτούν οι άνθρωποι είναι το πόσες πληροφορίες μοιράζονται στο διαδίκτυο», δήλωσε ο Keiran.
Στο “red teaming” – ένας όρος της κυβερνοασφάλειας για τον έλεγχο των αμυντικών συστημάτων μιας εταιρείας – ένα από τα πρώτα μέρη που εξετάζουν ο Keiran και η ομάδα του είναι τα social media.
«Μπορούμε να κάνουμε σχεδόν τα πάντα για να εισέλθουμε σε μια εταιρεία, αλλά ένα από τα εργαλεία που χρησιμοποιούμε είναι η συλλογή δεδομένων από τα μέσα κοινωνικής δικτύωσης. Ψάχνουμε ιστότοπους κοινωνικής δικτύωσης όπως το LinkedIn για να δούμε τι μπορούμε να βρούμε», εξήγησε ο Keiran.
Αυτό μπορεί όχι μόνο να αποκαλύψει ονόματα χρηστών που μπορούν να συνδεθούν με κλεμμένα διαπιστευτήρια λογαριασμού, αλλά ανοίγει επίσης την πόρτα σε μια ολόκληρη σειρά άλλων επιθέσεων.
Μια από τις πιο ύπουλες επιθέσεις στις οποίες σας εκθέτει αυτό είναι μια τεχνική που ονομάζεται “sim swapping” ή “sim-jacking”.
Ο Keiran εξηγεί ότι οι χάκερ θα αναζητήσουν στο διαδίκτυο πληροφορίες όπως η ημερομηνία γέννησης, η διεύθυνσή σας, ακόμη και οι απαντήσεις σε κοινές ερωτήσεις ασφαλείας, όπως το όνομα της μητέρας σας. «Μόλις αποκτήσουν όλες αυτές τις πληροφορίες, μπορούν να χρησιμοποιήσουν τεχνικές κοινωνικής μηχανικής για να τηλεφωνήσουν στον πάροχο κινητής τηλεφωνίας τους και να τους πείσουν να μεταφέρουν τον αριθμό του κινητού τους σε μια νέα sim», είπε.
Τώρα, κάθε φορά που ένα μήνυμα ή μια κλήση θα πήγαινε στο τηλέφωνο του θύματος, αντί γι’ αυτό πηγαίνει κατευθείαν στους χάκερ. «Μόλις το αποκτήσουν αυτό, ξαφνικά έχουν πρόσβαση σε όλους τους ιστότοπους με έλεγχο ταυτότητας πολλαπλών παραγόντων στους οποίους είναι εγγεγραμμένο το άτομο», πρόσθεσε.
Αυτό θα μπορούσε να περιλαμβάνει λογαριασμούς ηλεκτρονικού ταχυδρομείου της εργασίας, λογαριασμούς ηλεκτρονικών αγορών, ακόμη και ηλεκτρονικές τραπεζικές συναλλαγές.
«Ό,τι ανεβάζετε στο διαδίκτυο δεν έχετε πλέον τον έλεγχο, και αν είστε άτυχοι και όλες αυτές οι πληροφορίες συνδεθούν, τότε μπορεί να κλαπεί εν μέρει η ταυτότητά σας», προειδοποίησε ο Keiran.
4. Σύνδεση σε μη προστατευμένα δημόσια δίκτυα
«Τα τελευταία χρόνια κάτι που έχει γίνει πολύ πιο σημαντικό είναι η εργασία εξ αποστάσεως. Ένα μεγάλο μέρος αυτού περιλαμβάνει ανθρώπους που πηγαίνουν σε καφετέριες και συνδέονται στο δημόσιο Wi-Fi τους», δήλωσε ο Keiran.
Το πρόβλημα είναι ότι αυτού του είδους τα δημόσια δίκτυα χρησιμοποιούν ένα είδος συστήματος που ονομάζεται “ανοικτός έλεγχος ταυτότητας” για να συνδέσουν τη συσκευή σας στον ιστό χωρίς να χρειάζεται να χρησιμοποιήσετε επαλήθευση ταυτότητας.
Ενώ αυτό σας διευκολύνει να συνδεθείτε γρήγορα στο Wi-Fi της καφετέριας για να στείλετε μερικά μηνύματα ηλεκτρονικού ταχυδρομείου, σας θέτει επίσης σε κίνδυνο επιθέσεων από εγκληματίες του κυβερνοχώρου.
«Ο ανοικτός έλεγχος ταυτότητας σημαίνει ότι τα δεδομένα που στέλνετε μέσω του δικτύου δεν είναι κρυπτογραφημένα και μπορούν να καταγραφούν από οποιονδήποτε άλλον στο δίκτυο. Κάποιος μπορεί να κάθεται έξω από ένα δημόσιο δίκτυο Wi-Fi και να ακούει τι αποστέλλεται. Θα μπορούσε να βρίσκεται στην καφετέρια ή θα μπορούσε να χρησιμοποιεί εξειδικευμένο εξοπλισμό για να αυξήσει την εμβέλεια με την οποία μπορεί να παρακολουθεί το δίκτυο. Μπορούν να είναι κρυμμένοι σε ασφαλή απόσταση και τότε το μόνο που έχουν να κάνουν είναι να ακούν και να περιμένουν», προειδοποίησε ο Keiran.
Για να αποφύγετε την κλοπή προσωπικών πληροφοριών όπως τραπεζικά στοιχεία από δημόσιο WiFi, ο Keiran συνιστά να χρησιμοποιείτε πάντα VPN όταν βρίσκεστε σε δημόσιο χώρο. Αυτές οι υπηρεσίες κρυπτογραφούν τα δεδομένα σας, έτσι ώστε όσοι παρακολουθούν ένα δίκτυο να μην μπορούν να τα διαβάσουν.
5. Κλικ σε ύποπτα link
Τέλος, ο Keiran τόνισε ότι η αποστολή ύποπτων συνδέσμων εξακολουθεί να είναι ο πιο συνηθισμένος τρόπος με τον οποίο οι άνθρωποι πέφτουν θύματα πειρατείας.
Οι απάτες ηλεκτρονικού “ψαρέματος” (Phishing) παραμένουν η πιο διαδεδομένη επίθεση στο Ηνωμένο Βασίλειο σύμφωνα με το Εθνικό Κέντρο Κυβερνοασφάλειας (NCSC). Μόνο το 2022, 7,1 εκατομμύρια κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου και URLs επισημάνθηκαν στο NCSC – το ισοδύναμο σχεδόν 20.000 αναφορών την ημέρα.
Ο Keiran εξήγησε ότι οι χάκερ στέλνουν ψεύτικα μηνύματα ηλεκτρονικού ταχυδρομείου και γραπτά μηνύματα στους στόχους που περιέχουν συνδέσμους προς κακόβουλους ιστότοπους ή οδηγίες για λήψη λογισμικού.
Μόλις γίνει κλικ σε έναν από αυτούς τους ύποπτους συνδέσμους, δίνεται στους εγκληματίες ένα παράθυρο για να εγκαταστήσουν κακόβουλο λογισμικό στη συσκευή του θύματός τους, το οποίο μπορεί να κλέψει δεδομένα και ακόμη και να αναλάβει τον έλεγχο.
Αλλά όσο εξελιγμένος και αν είναι ένας ιός υπολογιστή, οι χάκερ εξακολουθούν να χρειάζονται κάποιον να ακολουθήσει έναν σύνδεσμο προς έναν εκτεθειμένο ιστότοπο ή να κατεβάσει αρχεία που περιέχουν κρυφό κακόβουλο λογισμικό.
«Πρέπει να είστε σε εγρήγορση για οποιονδήποτε σας στέλνει κάτι όταν δεν το περιμένετε. Μην κάνετε κλικ σε ύποπτους συνδέσμους, μην κατεβάζετε ύποπτα αρχεία, μην πέσετε στην παγίδα τους» κατέληξε ο Kieran.
πηγή: FOXreport.gr
πηγή: flashnews