Video: Jejak Korupsi Dua Dekade (Oktober 2024)
Awal pekan ini, Trustwave merilis studi mereka pada botnet besar, salah satu dari banyak yang berhasil menggunakan pengontrol botnet Pony. Para peneliti menguasai botnet, menggantikan server Command and Control-nya. Setelah terkendali, mereka menemukan bahwa botnet berhasil mencuri sekitar dua juta kata sandi dari komputer yang terinfeksi. Mereka juga menemukan sesuatu yang sebagian besar dari kita sudah tahu: bahwa orang-orang buruk pada kata sandi.
Dapatkan Ke Kata Sandi
Dua juta akun yang disusupkan tersebar di antara 1, 58 juta kredensial situs web, 320.000 login email, 41.000 akun FTP, 3.000 kredensial Desktop Jarak Jauh, dan 3.000 kredensial akun Secure Shell adalah hasil yang signifikan. Yang menjadi perhatian, tentu saja, adalah berapa banyak pengguna yang terpengaruh telah memilih kata sandi yang sama untuk situs lain.
Para peneliti menemukan 318.121 kredensial Facebook yang menyumbang 57 persen dari total. Yahoo berikutnya dengan sekitar 60.000 akun, diikuti oleh 21.708 akun Twitter, 8.490 kata sandi LinkedIn, dan 7.978 akun untuk ADP penyedia penggajian. Yang terakhir ini agak tidak biasa, tetapi juga cukup merusak karena memberikan penyerang akses ke informasi pribadi korban.
Yang paling membuatku takut adalah 16.095 kredensial Google.com dan 54.437 kredensial Akun Google. Ini dapat memungkinkan penyerang mengakses Gmail, dan dari sana mengatur ulang kata sandi lain menggunakan fitur "lupa kata sandi" di situs web. Itu juga bisa memberi penyerang akses ke file pribadi di Google Drive, atau informasi pembayaran di Google Wallet.
Semua ini tidak berarti ada serangan besar-besaran terhadap situs-situs ini. Kemungkinan penjahat berhasil memanen alamat-alamat ini melalui berbagai cara, seperti phishing dan keylogger, dan menyimpannya di server-server ini. Mereka bisa menjualnya ke pembeli lain atau menyimpannya untuk digunakan di masa depan.
Kata Sandi Mengerikan, Lagi
Trustwave memecah kata sandi menjadi beberapa kategori: enam persen di antaranya "mengerikan, " sementara 28 persen di antaranya "buruk." Gabungan 22 persen adalah "baik" atau "sangat baik" dan 44 persen adalah "sedang." Di antara yang terburuk adalah: 123456, 123456789, 1234 dan, "kata sandi."
Sebagian besar kata sandi tidak mencampur huruf dan angka. Mayoritas kata sandi adalah semua huruf (kasus yang sama) atau semua angka, diikuti oleh kata sandi yang memiliki dua jenis (campuran huruf besar dan kecil, misalnya huruf kecil dengan angka, misalnya), kata Trustwave.
Satu temuan bagus adalah bahwa hampir setengah - 46 persen - dari kata sandi itu memiliki kata sandi panjang, 10 karakter atau lebih. Mayoritas kata sandi berada dalam kisaran enam hingga sembilan karakter, kata Trustwave.
Target Profil Tinggi
Sejauh Lucas Zaichkowsky, seorang arsitek data perusahaan di AccessData, prihatin, kekhawatiran yang lebih besar adalah bahwa para penjahat akan mencari akun milik orang "di organisasi target bernilai tinggi." Jika ternyata orang-orang ini menggunakan kata sandi yang sama di situs-situs ini dan juga untuk sumber daya yang terkait dengan pekerjaan, maka penyerang dapat masuk ke jaringan perusahaan melalui VPN atau email melalui klien berbasis web, Zaichkowksy mencatat.
"Mereka dapat menjual akun berharga kepada orang lain di pasar gelap yang membayar uang besar untuk kredensial yang valid yang membuat mereka menjadi organisasi sasaran yang menguntungkan, " kata Zaichkowksy.
Orang-orang menggunakan alamat email kantor mereka untuk kegiatan pribadi, seperti mendaftar untuk akun di Facebook. Cesar Cerrudo, CTO dari IOActive, menemukan berbagai personil militer, termasuk jenderal dan letnan jenderal ("jenderal masa depan, " Cerrudo memanggil mereka) telah menggunakan alamat email.mil mereka untuk membuat akun di situs perjalanan Orbitz, perusahaan GPS garmin.com, Facebook, Twitter, dan Skype, untuk beberapa nama. Ini membuat prospek kata sandi digunakan kembali bahkan lebih bermasalah, karena orang-orang ini sangat berharga sebagai target dan memiliki akses ke banyak informasi sensitif.
Direktur Qualys Engineering Mike Shema, bagaimanapun, mengatakan bahwa ia melihat harapan di masa depan. "Melihat ke arah 2014, otentikasi dua faktor akan terus mendapatkan momentum di seluruh teknologi perusahaan dan konsumen, dan banyak aplikasi akan mulai mengadopsi dua faktor juga. Kami juga akan melihat peningkatan teknik kripto pintar untuk kata sandi multi-otentikasi. " Otentikasi dua faktor memerlukan langkah otentikasi kedua, seperti kode khusus yang dikirim melalui pesan teks.
Tetap Aman
Konsensus umum adalah bahwa kata sandi ini diambil dari mesin pengguna, dan tidak mencuri informasi masuk dari situs - yang merupakan perubahan kecepatan yang menyenangkan. Keyloggers kemungkinan besar adalah tersangka, dan sangat berbahaya. Aplikasi berbahaya ini tidak hanya dapat menangkap penekanan tombol, tetapi dapat menangkap tangkapan layar, konten clipboard Anda, program yang Anda luncurkan, situs yang Anda kunjungi, dan bahkan menyaring percakapan IM dan utas email. Untungnya, sebagian besar perangkat lunak anti-virus seharusnya sudah Anda liput. Kami merekomendasikan pemenang penghargaan Pilihan Editor, Webroot SecureAnywhere AntiVirus (2014) atau Bitdefender Antivirus Plus (2014).
Perhatikan bahwa beberapa program AV tidak memblokir "greyware" atau "program yang mungkin tidak diinginkan secara default. Keyloggers kadang-kadang termasuk dalam kategori ini, jadi pastikan untuk mengaktifkan fitur ini.
Phishing dan taktik lain untuk menipu korban agar memberikan info kata sandi lebih sulit diblokir. Untungnya, kami memiliki banyak kiat tentang cara mengenali serangan phishing dan cara menghindarinya
Yang paling penting adalah agar orang menggunakan pengelola kata sandi. Aplikasi ini membuat dan menyimpan kata sandi unik dan kompleks untuk setiap situs atau layanan yang Anda gunakan. Mereka juga akan secara otomatis masuk Anda, sehingga jauh lebih sulit bagi keyloggers untuk mengambil informasi Anda. Pastikan untuk mencoba Dashlane 2.0 atau LastPass 3.0, keduanya pemenang Penghargaan Editor kami untuk manajemen kata sandi.
