Kradzież haseł firmowych – jakie metody stosują hakerzy?

Hasła firmowe znajdują się w czołówce danych, które wzbudzają zainteresowanie cyberprzestępców. Nic dziwnego, gdyż za ich pomocą można z łatwością dostać się na konto firmowe (i wykraść środki pieniężne) albo prześledzić wszystkie wiadomości e-mail przesyłane między pracownikami (i znaleźć treści warte sprzedania). Nie chcesz, by kradzież haseł firmowych spotkała również Twoją organizację? Sprawdź, jakie metody stosują hakerzy, żeby dobrać się do danych dostępowych. Dzięki temu uświadomisz sobie, dlaczego warto stosować lepsze zabezpieczenia, a tym samym uchronisz przedsiębiorstwo przed szeregiem przykrych konsekwencji.

Phishing. To najczęściej stosowana przez hakerów metoda, gdyż jest tania i bardzo skuteczna. Stanowi początek około 90% kradzieży danych w internecie. Bazuje na błędzie ludzkim, a więc niewiedzy, zmęczeniu czy nieuwadze pracownika. Przestępcy wysyłają sms-y lub maile, w których podszywają się pod innych nadawców, na przykład bank czy firmę kurierską. Wystarczy, że jedna osoba da się nabrać, pobierając załącznik ze złośliwym oprogramowaniem albo klikając w link przekierowujący na fałszywą witrynę, żeby dane dostępowe firmy wyciekły.

Atak Brute Force. Taka forma działania sprawdza się w miejscach, gdzie system nie blokuje konta po kilku nieudanych próbach wpisania hasła. Hakerzy uruchamiają specjalny skrypt, który w ogromnym tempie wrzuca na stronie miliony możliwych kombinacji logowania, jedna po drugiej – i często udaje mu się w końcu trafić. Zaczyna od najpopularniejszych, na przykład: 12345, qwerty, asdfgh. Jeśli Twoja firma stosuje tego typu kombinacje, wystarczy kilkanaście sekund, by je odkryć. Dlatego tak ważne jest zadbanie o skomplikowane hasła, składające się z wielu różnorodnych znaków. Ich złamanie może zająć całe lata.

Spoofing telefoniczny. Do Ciebie lub pracownika Twojej firmy dzwoni telefon. Wyświetlacz pokazuje, że jest to infolinia banku. Miły i kompetentny rozmówca informuje, że ktoś próbował się włamać na Twoje konto firmowe i musisz działać szybko, żeby nie zdążył wykraść pieniędzy. Działając w stresie i pod presją czasu, nie zastanawiasz się, tylko podajesz dane dostępowe w celu weryfikacji. Oszust może zatem z łatwością wypłacić z konta pieniądze.

Wi-Fi sniffing. Pod tym pojęciem kryje się podglądanie działań, które zachodzą w niezabezpieczonych sieciach Wi-Fi – zarówno domowych, jak i publicznych. Hakerzy instalują program przechwytujący dane przesyłane w sieci. Wystarczy, że Twój pracownik pracuje zdalnie i ma słabo zabezpieczoną sieć w domu. Albo jest w podróży służbowej i sprawdza maile, korzystając z publicznego internetu w kawiarni, na lotnisku czy w hotelu. W taki sposób dane logowania szybko trafiają w niepowołane ręce.

Pytania zabezpieczające. Haker zna login, na przykład do maila służbowego. Pozostaje mu rozpracowanie hasła. Mogą mu w tym pomóc pytania ochronne, jakie użytkownicy dodają do konta, by wspomóc się w przypadku zapomnienia hasła. Na przykład: “Jak nazywało się Twoje pierwsze zwierzę?” czy “Jakie jest panieńskie nazwisko Twojej matki?”. Ta metoda wymaga pewnej wiedzy cyberprzestępcy na temat użytkownika. Jednak w dobie mediów społecznościowych, gdzie ludzie chętnie dzielą się prywatnym życiem, zdobycie przydatnych informacji często okazuje się łatwiejsze, niż myślisz.

Okazja. Jak się mówi, okazja czyni złodzieja. Podobnie bywa w przypadku cyberprzestępstw. Czasem pracownicy firmy podają oszustom dane dostępowe na tacy, zatem nic dziwnego, że ci chętnie z tego korzystają. Przykład? Ktoś ma problem z zapamiętaniem hasła do maila służbowego. Zapisuje je sobie zatem na karteczce samoprzylepnej i przykleja na monitorze w biurze. Przez firmę przewija się mnóstwo osób (personel, klienci, dostawcy, obsługa techniczna, sprzątacze…). Któraś z nich może zrobić z takiej informacji niewłaściwy użytek.

Jak skuteczniej chronić firmę przed zagrożeniami w cyberprzestrzeni? Przeprowadź bezpłatny audyt cyberbezpieczeństwa, który odkryje luki w zabezpieczeniach. Poza tym odwiedzaj regularnie naszego bloga, a także fanpage lub profil LinkedIn, gdzie dzielimy się przydatnymi informacjami na temat cyberochrony.

Do usłyszenia!

Zespół Sagenso