Zanim zaczniemy – kwestia legalności
To jest ważne, więc przeczytaj uważnie.
Techniki, które Ci pokażę, możesz wykorzystać tylko i wyłącznie na sobie. Sprawdzasz swoje dane, swoje wycieki, swoje konta. To jest legalne.
Czego nie wolno robić:
- Logować się do cudzego konta na Facebooku
- Wchodzić na cudze konto Gmail
- Wykorzystywać znalezionych danych do szkodzenia komukolwiek
W polskim prawie nie ma zakazu korzystania z serwisów agregujących wycieki. Ale jest zakaz wykorzystywania tych danych do nieautoryzowanego dostępu do cudzych systemów. Pamiętaj o tym.
konsultacje
Wzmocnij cyberbezpieczeństwo
swojej firmy już dziś!
Zapisz się na 30-minutową darmową konsultację, aby wstępnie omówić potrzeby związane z cyberbezpieczeństwem w Twojej firmie.
Wspólnie znajdziemy rozwiązanie dopasowane do specyfiki Twojej działalności!
Skąd hakerzy biorą Twoje dane?
Wyobraź sobie taką sytuację. Rejestrujesz się w jakimś serwisie w 2018 roku. Podajesz email i hasło. Po dwóch latach ten serwis zostaje zhakowany. Baza danych wycieka do internetu.
I teraz Twój email oraz hasło krążą gdzieś w sieci. Hakerzy je zbierają, agregują i udostępniają w specjalnych serwisach.
Problem? Większość ludzi używa tego samego hasła w wielu miejscach. Jeśli Twoje hasło wyciekło z Canvy, jest spora szansa, że zadziała też na Twoim Gmailu, Facebooku czy koncie bankowym.
To właśnie wykorzystują przestępcy.
Serwis DeHashed – agregator wycieków
Jednym z największych serwisów agregujących dane z wycieków jestDeHashed.
Interfejs jest prosty. Masz pole wyszukiwania i przycisk „Find”. Wpisujesz swój adres email i sprawdzasz, czy gdzieś wyciekł.
|
Co możesz znaleźć |
Przykład |
|
|
|
|
Username (alias) |
pawel_hordynski |
|
Hasło |
twoje_stare_haslo123 |
|
Hash hasła |
5f4dcc3b5aa765d61d8327deb882cf99 |
|
IP |
192.168.1.1 |
|
Nazwa wycieku |
Canva 2019, LinkedIn 2021 |
Rejestracja jest darmowa, ale żeby zobaczyć pełne wyniki (w tym hasła), potrzebujesz płatnej subskrypcji. To nie są duże pieniądze – kilka dolarów miesięcznie.
Ja sprawdziłem swój własny email i znalazłem 3 rekordy. W jednym z nich było moje stare hasło, które kiedyś używałem. Tak – ja też kiedyś miałem mniejszą świadomość na temat bezpieczeństwa.
What’s My Name – znajdź wszystkie konta użytkownika
Ok, mamy już email i hasło. Ale przestępca potrzebuje jeszcze jednej rzeczy – listy serwisów, gdzie ofiara ma konta.
Tu z pomocą przychodziWhat’s My Name.
Ten serwis robi coś prostego: wpisujesz username (alias) i on sprawdza setki platform, czy istnieje tam konto o takiej nazwie.
Przykład:
- Z wycieku poznałeś, że ktoś używa username „pawel_hordynski”
- Wpisujesz to w What’s My Name
- Serwis sprawdza GitHub, Bitbucket, Filmweb, Twitter, Instagram…
- Dostajesz listę platform, gdzie to konto istnieje
Teraz połącz to z hasłem z wycieku. Jaka jest szansa, że użytkownik ma wszędzie to samo hasło?
Właśnie – bardzo duża.
Jak wygląda atak krok po kroku?
Pokażę Ci dokładnie, jak przestępca może przejąć konto zwykłego użytkownika:
Krok 1: Zdobycie emaila Przestępca ma Twój email. Mógł go znaleźć na Twojej stronie, w mediach społecznościowych, na wizytówce.
Krok 2: Sprawdzenie wycieków Wpisuje email w DeHashed. Znajduje stary wyciek z jakiegoś serwisu. Ma teraz Twoje hasło i username.
Krok 3: Mapowanie kont Wpisuje username w What’s My Name. Dostaje listę 15 platform, gdzie masz konto.
Krok 4: Próba logowania Próbuje zalogować się tym samym hasłem na każdą z platform. Na 12 z 15 – działa.
Cały proces zajmuje może 10 minut. Nie wymaga żadnej wiedzy hakerskiej. Tylko klikanie i wpisywanie.
konsultacje z cyberguru
Gotowy na wzmocnienie cyberbezpieczeństwa swojej firmy?
Zarezerwuj darmową 30-minutową konsultację, aby omówić potrzeby Twojej firmy w zakresie ochrony danych i cyberbezpieczeństwa. Wspólnie zidentyfikujemy zagrożenia i znajdziemy najlepsze rozwiązania dopasowane do Twojego biznesu.
Porozmawiajmy! Kliknij w poniższy przycisk i umów się na bezpłatną konsultację.
Dlaczego to działa na 90% ludzi?
Bo 90% ludzi:
- Używa tego samego hasła w wielu miejscach
- Nie włącza dwuskładnikowego uwierzytelniania (2FA)
- Nie sprawdza, czy ich dane wyciekły
- Nie zmienia haseł po wyciekach
To nie jest kwestia skomplikowanych ataków hakerskich. To kwestia podstawowej cyberhigieny, o którą większość ludzi nie dba.
Jak się przed tym bronić?
Dobra wiadomość: obrona jest prosta. Wymaga tylko trochę dyscypliny.
- Inne hasło do każdego serwisu
Tak, do każdego. Jeśli masz 50 kont – masz 50 różnych haseł. Brzmi jak koszmar? Dlatego istnieją menedżery haseł.
- Używaj menedżera haseł
Bitwarden, 1Password, LastPass – wybierz jeden i trzymaj się go. Menedżer generuje skomplikowane hasła i pamięta je za Ciebie. Ty pamiętasz tylko jedno hasło główne.
Bonus: dobre menedżery monitorują wycieki i informują Cię, gdy Twoje hasło gdzieś wycieknie.
- Włącz 2FA wszędzie, gdzie się da
Dwuskładnikowe uwierzytelnianie (2FA) to Twoja ostatnia linia obrony. Nawet jeśli ktoś zdobędzie Twoje hasło, bez kodu z telefonu nie wejdzie na konto.
Najlepiej używaj aplikacji typu Google Authenticator lub Authy. SMS jest lepszy niż nic, ale można go przechwycić.
- Sprawdzaj regularnie wycieki
Raz na kilka miesięcy wpisz swój email w DeHashed lub darmowy haveibeenpwned.com. Jeśli coś wyciekło – zmień hasło natychmiast.
Wyciek danych – Co z firmami?
Teraz pomyśl o tym z perspektywy firmy.
Masz 50 pracowników. Każdy z nich ma prywatne nawyki internetowe. Część używa tego samego hasła do służbowego emaila i do prywatnego Facebooka.
Wystarczy, że jeden pracownik ma wyciek. Przestępca loguje się na jego służbową pocztę. Stamtąd wysyła phishing do innych pracowników lub klientów. Albo wykrada dane firmowe.
Czy Twoi pracownicy dbają o cyberhigienę? Czy wiesz, czy ich prywatne hasła nie wyciekły?
Jeśli masz wątpliwości – warto to sprawdzić. Szkolenia z cyberbezpieczeństwa i testy odporności firmy mogą uchronić Cię przed poważnymi stratami. Na początek możesz sprawdzić darmowego e-booka, z którego dowiesz się, jak wprowadzić zmiany, które wzmocnią bezpieczeństwo IT w Twojej firmie.
Włamania hackerskie i wycieki danych – Podsumowanie
Hakerzy nie potrzebują zaawansowanej wiedzy, żeby włamać się na Twoje konta. Wystarczą im publiczne serwisy z wyciekami i Twoja niefrasobliwość w kwestii haseł.
Obrona jest prosta:
- Inne hasło do każdego serwisu
- Menedżer haseł
- 2FA wszędzie, gdzie się da
- Regularne sprawdzanie wycieków
To nie wymaga wiedzy technicznej. Wymaga tylko decyzji, że od dzisiaj zaczynasz dbać o swoje bezpieczeństwo.
A jeśli prowadzisz firmę – pomyśl też o swoich pracownikach. Ich nawyki internetowe mogą być Twoim najsłabszym ogniwem.
współpraca
Szukasz stałej, kompleksowej obsługi bezpieczeństwa IT Twojej firmy?
Współpracuj ze mną w modelu CISO as a Service
Zostanę zewnętrznym szefem cyberbezpieczeństwa Twojej firmy
CISO as a Service od Cyberguru to:
- działania dot. cyberbezpieczeństwa dostosowane do specyfiki Twojej branży i skali działalności
- strategiczne podejście do bezpieczeństwa IT obejmujące zarządzanie ryzykiem i wdrażanie polityk
- wsparcie operacyjne: od monitorowania bezpieczeństwa IT, przez reagowanie na incydenty, aż po audyty i testy penetracyjne
- stałe podnoszenie świadomości dot. cyberbezpieczeństwa u Twoich pracowników poprzez cykliczne szkolenia
- korzystanie z wiedzy specjalisty, który jest na bieżąco z najnowszymi trendami w branży cyberbezpieczeństwa
- zapewnienie zgodności z lokalnymi i międzynarodowymi przepisami dot. ochrony danych i bezpieczeństwa informacji
- regularne raportowanie o obecnej sytuacji bezpieczeństwa IT w Twojej firmie i zalecanych krokach
- redukcja kosztów związanych z zatrudnieniem pełnoetatowego CISO, szczególnie dla mniejszych firm
