Jak hakerzy włamali się na 90% serwisów internetowych? SZOK!

Dzisiaj pokażę Ci, jak przestępcy internetowi mogą włamać się na Twoje platformy bez eksperckiej wiedzy. Bez bycia hakerem, bez dziesiątek lat nauki. Po prostu klikają, naciskają i wchodzą. Brzmi przerażająco? Powinno. Bo to pokazuje, ile zagrożeń czyha na Ciebie każdego dnia. Ale spokojnie – pokażę Ci też, jak się przed tym bronić.

Zanim zaczniemy – kwestia legalności

To jest ważne, więc przeczytaj uważnie.

Techniki, które Ci pokażę, możesz wykorzystać tylko i wyłącznie na sobie. Sprawdzasz swoje dane, swoje wycieki, swoje konta. To jest legalne.

Czego nie wolno robić:

  • Logować się do cudzego konta na Facebooku
  • Wchodzić na cudze konto Gmail
  • Wykorzystywać znalezionych danych do szkodzenia komukolwiek

W polskim prawie nie ma zakazu korzystania z serwisów agregujących wycieki. Ale jest zakaz wykorzystywania tych danych do nieautoryzowanego dostępu do cudzych systemów. Pamiętaj o tym.

Należy również pamiętać, iż nie ma czegoś takiego jak anonimowość, tak samo jak 100% bezpieczeństwo. Możemy minimalizować ryzyka, ale zawsze gdzieś jest jakiś punkt styku, dlatego raczej rozmawiajmy o prywatności, która ma trochę inne oblicze. Jest ona bardziej zapewnieniem wysokiego standardu w zarządzaniu swoją tożsamością, który powala na jak największym ograniczeniu jej zdradzania. Ludzie niestety myślą, że bezpieczeństwo czy anonimowość można osiągnąć w procesie jakiegoś postępowania krok po kroku. Wystarczy działać zgodnie z instrukcją i już jest. To mit.

Czytaj dalej

CYBERGURU NA ŻYWO

Kalendarz darmowych szkoleń

Zapomnij o domysłach z forów internetowych czy niesprawdzonych tutorialach.

Wejdź do świata OSINT-u, poznaj mechanizmy Darknetu i zobacz, jak zniknąć z radarów i chronić swoją tożsamość. Spotykamy się na żywo, rozwiązujemy realne case’y i rozkładamy zagrożenia na czynniki pierwsze.

Sprawdź nasz harmonogram i dołącz do sesji, która Cię interesuje – czas na Twój ruch w cieniu.

Skąd hakerzy biorą Twoje dane?

Wyobraź sobie taką sytuację. Rejestrujesz się w jakimś serwisie w 2018 roku. Podajesz email i hasło. Po dwóch latach ten serwis zostaje zhakowany. Baza danych wycieka do internetu.

I teraz Twój email oraz hasło krążą gdzieś w sieci. Hakerzy je zbierają, agregują i udostępniają w specjalnych serwisach.

Problem? Większość ludzi używa tego samego hasła w wielu miejscach. Jeśli Twoje hasło wyciekło z Canvy, jest spora szansa, że zadziała też na Twoim Gmailu, Facebooku czy koncie bankowym.

To właśnie wykorzystują przestępcy.

Serwis DeHashed – agregator wycieków

Jednym z największych serwisów agregujących dane z wycieków jestDeHashed.

Interfejs jest prosty. Masz pole wyszukiwania i przycisk „Find”. Wpisujesz swój adres email i sprawdzasz, czy gdzieś wyciekł.

Co możesz znaleźć

Przykład

Email

Username (alias)

pawel_hordynski

Hasło

twoje_stare_haslo123

Hash hasła

5f4dcc3b5aa765d61d8327deb882cf99

IP

192.168.1.1

Nazwa wycieku

Canva 2019, LinkedIn 2021

Rejestracja jest darmowa, ale żeby zobaczyć pełne wyniki (w tym hasła), potrzebujesz płatnej subskrypcji. To nie są duże pieniądze – kilka dolarów miesięcznie.

Ja sprawdziłem swój własny email i znalazłem 3 rekordy. W jednym z nich było moje stare hasło, które kiedyś używałem. Tak – ja też kiedyś miałem mniejszą świadomość na temat bezpieczeństwa.

What’s My Name – znajdź wszystkie konta użytkownika

Ok, mamy już email i hasło. Ale przestępca potrzebuje jeszcze jednej rzeczy – listy serwisów, gdzie ofiara ma konta.

Tu z pomocą przychodziWhat’s My Name.

Ten serwis robi coś prostego: wpisujesz username (alias) i on sprawdza setki platform, czy istnieje tam konto o takiej nazwie.

Przykład:

  1. Z wycieku poznałeś, że ktoś używa username „pawel_hordynski”
  2. Wpisujesz to w What’s My Name
  3. Serwis sprawdza GitHub, Bitbucket, Filmweb, Twitter, Instagram…
  4. Dostajesz listę platform, gdzie to konto istnieje

Teraz połącz to z hasłem z wycieku. Jaka jest szansa, że użytkownik ma wszędzie to samo hasło?

Właśnie – bardzo duża.

Jak wygląda atak krok po kroku?

Pokażę Ci dokładnie, jak przestępca może przejąć konto zwykłego użytkownika:

Krok 1: Zdobycie emaila Przestępca ma Twój email. Mógł go znaleźć na Twojej stronie, w mediach społecznościowych, na wizytówce.

Krok 2: Sprawdzenie wycieków Wpisuje email w DeHashed. Znajduje stary wyciek z jakiegoś serwisu. Ma teraz Twoje hasło i username.

Krok 3: Mapowanie kont Wpisuje username w What’s My Name. Dostaje listę 15 platform, gdzie masz konto.

Krok 4: Próba logowania Próbuje zalogować się tym samym hasłem na każdą z platform. Na 12 z 15 – działa.

Cały proces zajmuje może 10 minut. Nie wymaga żadnej wiedzy hakerskiej. Tylko klikanie i wpisywanie.

Czytaj dalej

POZNAJ CYBERAKADEMIĘ

Skoro już tu jesteś - rozwiń swoje cyberumiejętności!

Dołącz do ponad 5000 kursantów, którzy zaczynali dokładnie tak jak Ty – od artykułu na blogu.
Wybierz kurs dopasowany do Twojego poziomu i zacznij ćwiczyć pod okiem praktyka.

Cyberberodporność w pracy i w domu

Podstawy cyberbezpieczeństwa w przystępnej formie. Dowiedz się, jak chronić siebie i swoich bliskich w internecie – od bezpiecznych haseł, przez rozpoznawanie phishingu, po ochronę prywatności online. Idealny start dla początkujących.

zacznij się chronić

DarkINT - Wejście na Cebulkę

DarkINT to praktyczny kurs wejścia na Darknet od zera. Krok po kroku budujesz bezpieczne środowisko, tworzysz tożsamość operacyjną, konfigurujesz komunikację i uczysz się poruszać po ukrytych społecznościach – bez teorii na sucho, z pełną symulacją na koniec.

Rozpocznij kurs

Dlaczego to działa na 90% ludzi?

Bo 90% ludzi:

  • Używa tego samego hasła w wielu miejscach
  • Nie włącza dwuskładnikowego uwierzytelniania (2FA)
  • Nie sprawdza, czy ich dane wyciekły
  • Nie zmienia haseł po wyciekach

To nie jest kwestia skomplikowanych ataków hakerskich. To kwestia podstawowej cyberhigieny, o którą większość ludzi nie dba.

Jak się przed tym bronić?

Dobra wiadomość: obrona jest prosta. Wymaga tylko trochę dyscypliny.

  1. Inne hasło do każdego serwisu

Tak, do każdego. Jeśli masz 50 kont – masz 50 różnych haseł. Brzmi jak koszmar? Dlatego istnieją menedżery haseł.

  1. Używaj menedżera haseł

Bitwarden, 1Password, LastPass – wybierz jeden i trzymaj się go. Menedżer generuje skomplikowane hasła i pamięta je za Ciebie. Ty pamiętasz tylko jedno hasło główne.

Bonus: dobre menedżery monitorują wycieki i informują Cię, gdy Twoje hasło gdzieś wycieknie.

  1. Włącz 2FA wszędzie, gdzie się da

Dwuskładnikowe uwierzytelnianie (2FA) to Twoja ostatnia linia obrony. Nawet jeśli ktoś zdobędzie Twoje hasło, bez kodu z telefonu nie wejdzie na konto.

Najlepiej używaj aplikacji typu Google Authenticator lub Authy. SMS jest lepszy niż nic, ale można go przechwycić.

  1. Sprawdzaj regularnie wycieki

Raz na kilka miesięcy wpisz swój email w DeHashed lub darmowy haveibeenpwned.com. Jeśli coś wyciekło – zmień hasło natychmiast.

Wyciek danych – Co z firmami?

Teraz pomyśl o tym z perspektywy firmy.

Masz 50 pracowników. Każdy z nich ma prywatne nawyki internetowe. Część używa tego samego hasła do służbowego emaila i do prywatnego Facebooka.

Wystarczy, że jeden pracownik ma wyciek. Przestępca loguje się na jego służbową pocztę. Stamtąd wysyła phishing do innych pracowników lub klientów. Albo wykrada dane firmowe.

Czy Twoi pracownicy dbają o cyberhigienę? Czy wiesz, czy ich prywatne hasła nie wyciekły?

Jeśli masz wątpliwości – warto to sprawdzić. Szkolenia z cyberbezpieczeństwa i testy odporności firmy mogą uchronić Cię przed poważnymi stratami. Na początek możesz sprawdzić darmowego e-booka, z którego dowiesz się, jak wprowadzić zmiany, które wzmocnią bezpieczeństwo IT w Twojej firmie.

Włamania hackerskie i wycieki danych – Podsumowanie

Hakerzy nie potrzebują zaawansowanej wiedzy, żeby włamać się na Twoje konta. Wystarczą im publiczne serwisy z wyciekami i Twoja niefrasobliwość w kwestii haseł.

Obrona jest prosta:

  • Inne hasło do każdego serwisu
  • Menedżer haseł
  • 2FA wszędzie, gdzie się da
  • Regularne sprawdzanie wycieków

To nie wymaga wiedzy technicznej. Wymaga tylko decyzji, że od dzisiaj zaczynasz dbać o swoje bezpieczeństwo.

A jeśli prowadzisz firmę – pomyśl też o swoich pracownikach. Ich nawyki internetowe mogą być Twoim najsłabszym ogniwem.

O autorze

Od ponad 15 lat pracuję w branży IT, a od 2018 roku zawodowo zajmuję się cyberbezpieczeństwem, analizą incydentów i testami penetracyjnymi.

Na co dzień mam do czynienia z prawdziwymi danymi, realnymi zagrożeniami i sytuacjami, w których błędne założenie kosztuje czas, pieniądze albo bezpieczeństwo. To doświadczenie bardzo mocno ukształtowało mój sposób myślenia – i dokładnie ten sposób myślenia chcę Ci przekazać w Cyberdetektywie.

Ten kurs powstał dlatego, że przez lata widziałem, jak wiele problemów bierze się z braku umiejętności weryfikowania informacji, łączenia faktów i odróżniania danych od domysłów. W pracy z incydentami i bezpieczeństwem bardzo szybko wychodzi na jaw, kto potrafi analizować sytuację, a kto tylko zgaduje – i ta różnica jest kluczowa również poza światem IT w zupełnie prywatnych warunkach.

Cyberdetektyw nie jest kursem teoretycznym ani zbiorem efektownych trików. To próba przeniesienia podejścia znanego z cyberbezpieczeństwa i pentestów do świata OSINT-u. Pokażę Ci nie tylko narzędzia i techniki, ale przede wszystkim tok myślenia, który wykorzystuję w swojej pracy.