На сегодняшний день такое событие, как взлом паролей происходит довольно часто. При этом взламываются пароли от электронки, электронного банкинга, учетных записей в соцсетях или Wi-Fi. Зачастую это происходит, потому что многие юзеры не соблюдают мере безопасности во время создания и применения паролей, однако, это не все причины, по которым мошенники могут завладеть паролем.
В этом случае необходимо знать, какими способами может взламываться пароль пользователя и причины уязвимости аккаунта. Существуют специальные сервисы, на которых можно увидеть компрометировался ли пароль пользователя. Чтобы обезопасить свои данные в учетных записях, необходимо ознакомиться со специальным материалом.
Какие методы предназначены для взлома паролей
Чтобы взломать пароль, мошенники используют небольшой ассортимент техник. Они не настолько секретны и практически любой взлом паролей может быть выполнен с помощью отдельного способа или комбинации нескольких.
Фишинг
На сегодняшний день для взлома паролей почтовиков и соцсетей очень часто используется фишинг. Стоит отметить, что этот метод срабатывает в большинстве случаев взлома. Принцип работы этого способа заключается в том, что при переходе на знакомый ресурс, по какой-то причине выскакивает запрос на ввод пароля и логина. Прописав эти данные, они сразу же поступаю в руки мошенников.
Это может проходить по-разному, но в большинстве случаев на электронку приходит сообщение как бы от службы поддержки, в котором предлагается перейти в свою учетную запись и имеется ссылка. Перейдя по ней, загружается ресурс, который сложно отличить от оригинала.
Кроме того, можно случайно установить на свой ПК нежелательное ПО, которое способно изменять системные настройки. Вследствие этого, при написании адреса в веб-обозревателе, открывается абсолютно идентичный оригиналу фишинговый ресурс.
Достаточно много пользователей попадаются на эту уловку, просто потому, что не хотят внимательно устанавливать программы и вникать во все сообщения на почте.
В случае получения подобного письма, не стоит сразу выполнять все его требования.
Следует внимательно изучить, откуда было отправлено это сообщение и сравнить с адресом оригинального сайта. Как правило, адреса могут быть очень похожи, за исключением некоторых символов. Но правильный адрес не может быть гарантией подлинности письма.
Перед тем как прописывать свои данные, необходимо обратить внимание на адресную строку обозревателя. В ней должен стоять адрес того ресурса, который требуется для входа. Но с вредоносным ПО, присутствующим на ПК, это не поможет. В этом случае необходимо обратить внимание на присутствие в адресе шифрования, которое можно распознать по https, который заменяет http и пиктограммы замочка в адресной строке. Если на него нажать, то можно понять, что ресурс подлинный. Практически все ресурсы, которые дорожат своей репутацией, используют такое шифрование.
Стоит отметить, что на данный момент метод подбора паролей не требует от человека постоянного присутствия. Для этого были придуманы специальные программы, которые быстро и самостоятельно перебирают комбинации паролей, причем в большом количестве, а потом предоставляют отчет мошеннику. К тому же такие приложения могут функционировать не только на ПК злоумышленника, но и на компьютерах других пользователей, причем последние даже подозревать не будут об этом. Это намного повышает вероятность взлома.
Подбор паролей
Кроме того, широкую популярность среди мошенников набрал способ подбора паролей. Некоторое время назад большая часть подобных атак действительно заключалась в переборе подборе комбинации различных наборов символов для определения пароля. На сегодняшний день этот процесс значительно упростился.
Ряд исследований показал, что за последние годы среди взломанных паролей уникальных оказалось меньше половины. Ко всему прочему, на ресурсах, где в основном находятся начинающие пользователи, уникальных паролей, вообще, единицы.
Это означает, что мошеннику не нужно перебирать миллиарды комбинаций. Ему
понадобится всего база с несколькими миллионами популярных комбинаций, подставляя которые он может легко взломать около половины всех паролей любого сайта.
Если атака направлена на определенный аккаунт, тогда кроме базы, может применяться и
обычный подбор паролей. Современное ПО предоставляет возможность вскрыть пароль из восьми символов всего за несколько дней. Если в пароле имеется дата рождения или какая-то комбинация даты и имени, тогда взлом может произойти за несколько минут.
Стоит обратить внимание на то, что при использовании одного пароля на разных ресурсах, возможен такой вариант, когда пароль и привязанный к нему электронный адрес будет взломан, то при использовании специального ПО, такое сочетание будет применяться для всех остальных сайтов. К примеру, где-то год назад на Gmail и Яндекс было взломано несколько миллионов паролей, после чего такое же произошло на многих других сервисах.
Взлом ресурсов и получение хэшей паролей
Стоит отметить, что большая часть серьезных ресурсов не сохраняет пароли в таком виде, как его вводит пользователь. В базе сайта хранится только хэш. По этим подразумевается результат использования необратимой функции к паролю. Другими словами, из него невозможно заново получить пароль. При повторном посещении сайта, происходит вычисление хэша и сравнивание его с тем, которые находится в базе. При совпадении его, предоставляет вход на ресурс.
Из этого просто догадаться, что пароли на ресурсе не хранятся, а это значит, что при взломе базы сайта, мошенник не получит никакой информации, позволяющей узнать пароль.
Но и в этом случае есть вероятность утечки пароля. Мошенник может использовать специальные алгоритмы для вычисления хэша. В большей своей части они довольно известные и распространенные. Обладает огромной базой паролей, мошенник также располагает доступом в их хэшам, которые были получены специальным алгоритмом.
Злоумышленник может сопоставить полученные с сайта хэши со своей базой и вычислить, используемый алгоритм. После этого, применяя простое сопоставление, он сможет получить настоящие пароли для части аккаунтов. Это подействует для неуникальных паролей. Для уникальных, но маленьких паролей может применять простой подбор.
Из этого следует, что как бы владельцы сайта не утверждали, что они не хранят пользовательские пароли у себя в базе, взлом пароля все равно может произойти.
Шпионские утилиты (SpyWare)
Эти программы представляют собой вредоносное ПО, которое без ведома пользователя устанавливается на компьютер и при этом собирает все информацию о пользователе. Кроме того, среди шпионских программ можно выделить кейлоггеры, которые предназначены для вычисления нажатых клавиш, а также анализаторы трафика. Именно они могут стать причиной взлома пароля.
Социальная инженерия и вопросы для восстановления пароля
Под социальной инженерией подразумевается способ получения данных, который основывается на психологии человека. В глобальной сети таких примеров можно найти огромное количество. Многие из них довольно изящны. Суть этого метода в том, что нужную информацию мошенники могут получить благодаря уязвимостям человека.
К примеру, многие знают, что для возвращения пароля на некоторых ресурсах необходимо ввести ответ на контрольный вопрос. Это может быть любая информация, касающаяся только пользователя. Однако, большинство из нас общаются в соцсетях, но при этом такие данные в открытый доступ не выкладывают. Но при необходимости мошенники могут специально знакомиться со своими жертвами и ненавязчиво выуживать необходимые данные.
Как выяснить, что ваш пароль был взломан
Наверняка многим пользователям хотелось бы знать, не находится ли их пароль в списке тех, которые уже были взломаны. Для этого можно воспользоваться несколькими сервисами, которые позволяют это узнать. Среди них можно отметить всего три:
https://haveibeenpwned.com/
https://breachalarm.com/
https://pwnedlist.com/query
Если в каком-либо из них был обнаружен аккаунт, тогда необходимо в срочном порядке изменить пароль. Желательно, чтобы он содержал не менее восьми символов и не включал в себя данные об имени или дате рождения.