5 načinov, kako uporabnika prepričati, da izda geslo

Want create site? With Free visual composer you can do it easy.

Eden izmed klasičnih napadov na informacijski sistem je v resnici »napad« na uporabnike z namenom prepričati jih, da izdajo svoje geslo.

Z gesli lahko napadalec enostavno pride do pomembnih podatkov in pomembnih delov informacijskega sistema.

Tovrstni napadi na uporabnike niso nič novega, so se pa v zadnjem času tehnike napadov močno razvile. Teorije o tem, kako prepričati uporabnika, da izda svoje geslo, so postale prava znanost.

V tej novici vam predstavljamo 5 najučinkovitejših metod oz. tehnik za pridobitev gesla.

1. Prijaznost

Ne glede na to, koliko se zdi ta metoda preživeta, še vedno velja. Če si do uporabnika prijazen, bo prijazen do tebe. Z lepimi besedami in gestami lahko napadalec bistveno zniža uporabnikov mehanizem previdnosti.

Analiza, ki je bila izvedena v Veliki Britaniji je lep primer te teze. Z namenskim vprašalnikom so skušali ugotoviti čim več podrobnosti glede uporabniškega gesla. Kar 34% uporabnikov je brez zadržkov odgovorilo na večino vprašanj in tako izdalo marsikatero podrobnost glede svojega gesla. Ko so uporabnikom ponudili manjše dodatne prijaznosti (čokoladica pri izpolnjevanju vprašalnika ipd.), se je ta odstotek zvišal kar na 70%!!! (http://news.bbc.co.uk/2/hi/technology/3639679.stm)

Največkrat za pridobitev določenih informacij (geslo vezano na ime, ali geslo, ki vsebuje številke ipd.) posebne tehnike niso potrebne, uporabniku je potrebno le zastaviti vprašanje.

Napadalec s prijaznimi besedami pri uporabnikih hitro naleti na uspeh.

2. Posebne ugodnosti

Ta metoda se običajno uporablja pri phishing mail napadih. Uporabniku ponudiš nekaj, čemur se enostavno ne more upreti. Analiza je pokazala, da se odstotek uporabnikov bistveno poveča, če jim za neko akcijo ponudiš nekaj posebnega.

Posebne ugodnosti

Znan je test dveh na videz podobnih phishing mail napadov. Primer prvega napada: kliknite na spodnjo povezavo in vpišite geslo za registracijo. Primer drugega napad: za dostop do posebnih dokumentov kliknite na spodnjo povezavo in vpišite geslo za registracijo.

Uspešnost drugega napada je bistveno večja.

S prijaznimi besedami in pravo mero »piškotkov«, ki jih ponudimo uporabnikom, hitro dosežemo točko, ko so uporabniki manj previdni in odločitve, ki jih največkrat uporabniki sprejemajo v delčku sekunde (povem ali ne povem, kliknem ali ne kliknem), se očitno lahko z manjšimi darilci in »bonbončki« prevesijo v korist napadalca. Bodisi je to posledica človeške radovednosti, bodisi podzavestne želje, da imaš nekaj kar drugi nimajo. V vsakem primeru je metoda več kot uspešna.

3. Denar

Ne glede na to, koliko je ta metoda na videz nenavadna, so jo testirali. Brez ovinkarjenja so uporabnikom v zameno za geslo ponudili denar. Ena izmed takšnih raziskav se nahaja na povezavi http://fortune.com/2016/03/30/passwords-sell-poor-sailpoint/

Zaposleni, ki so pripravljeni prodati svoje geslo po državah
Zaposleni, ki so pripravljeni prodati svoje geslo po državah (vir: SailPoint)

20% vprašanih uporabnikov je bilo pripravljeno prodati svoje geslo za relativno majhno vsoto denarja.

Bistveno pri tem je dejstvo, da marsikaterega uporabnika niti ne zanimajo posledice oz. se nujno niti ne zaveda teže svojih dejanj. Pa naj bo to posledica nezadovoljstva, zlobe, ali neznanja. Pri takem uporabniku obstaja večja možnost, da izda geslo. Uporabnik razmišlja: »kaj me briga, ni moja stvar, da skrbim za varnost« ali »bom dal geslo, saj si z njim itak ne more nič pomagati« ipd.


4. Naivnost

Uporabnika dostikrat lahko enostavno zavedeš, da si nekaj kar nisi.

Tipičen primer je, ko se napadalec v večjih podjetjih predstavi kot uslužbenec IT oddelka.

Če se na pravi način predstaviš za nekaj kar nisi, bodo marsikateri uporabnik to verjel. Uporabnik bo v tistem delčku sekunde, ko se odloča, da bo nekaj naredil ali ne, marsikdaj izbral »varnejšo« opcijo in bo ubogal, brez da se izpostavlja.

Če napadalec temu doda še razne »grožnje« (šef Tone mi je rekel, da boš ti to naredil) oz. občutek urgence (če to ne narediva sedaj, bo moral cel oddelek to narediti v soboto) in to naredi na pravilen način, je uspeh marsikdaj neizbežen


5. Družbena omrežja

Vse zgornje metode vključujejo interakcijo z uporabnikom. Pa je ta vedno potrebna?

Praksa kaže, da je večina gesel tako ali drugače vezana na določene lastnosti uporabnika. To so lahko imena, rojstni dnevi, družina, prijatelji, hobiji ipd. Kar je seveda normalno, saj si sicer uporabnik gesla težko zapomni. Sicer obstaja cela vrsta tehnik, za pomnjenje težkih gesel in cela vrsta programov, ki uporabnikom omogočajo uporabo težkih gesel, vendar v praksi to enostavno ne zaživi (vsaj pri večini ne).

V praksi velja, več kot veš o uporabniku, večja je možnost, da uganeš geslo. Uporabniki se danes poslužujejo cele vrste mehanizmov, kjer se nahaja ogromno podatkov o njihovem življenju. Facebook, Twitter, YouTube, spletne strani ipd.

Z ustrezno količino časa in iznajdljivosti je o določenem uporabniku preko spleta mogoče ugotoviti skoraj vse. Marsikateri uporabnik napadalcem dela ne otežuje, ampak jim ga celo olajša z raznimi objavami in fotografijami na družbenih omrežjih.

Posledično so se razvile metode in orodja, s katerimi lahko napadalec učinkovito zbere celo vrsto podatkov, imen, besed ipd. vezanih na uporabnika. Iz vsega tega lahko sestavi učinkovit seznam vseh možnih permutacij gesel.

Če k temu dodamo še slabše varnostne mehanizme v podjetju, ki na primer omogočajo neopaženo ugibanje gesel ipd., lahko napadalec dokaj hitro in učinkovito ugotovi pravo geslo uporabnika. In z njim sploh ne spregovori besede.


Več vsebin s področja varnosti

Varnostne storitve

Več vsebin s področja varnosti

Did you find apk for android? You can find new Free Android Games and apps.
[grwebform url="https://app.getresponse.com/view_webform_v2.js?u=V1sSi&webforms_id=6394102" css="on" center="off" center_margin="200"/]
[iframe-popup id="2"]