פריצת חשבונות אימייל לא חייבת להיות עניין מתוחכם.
אנו נזכרים שוב בעובדה זו בזכותדוחפורסם ביום שישי על ידי מרכז האיומים של מיקרוסופט, המפרט כיצד קבוצת האקרים כיוונה לחשבונות הדוא"ל של עיתונאים, פקידי ממשל ולקמפיין של מועמד לנשיאות ארה"ב. והנה העניין, השחקנים הרעים לא השתמשו באיזה פנטזיה1337כישורי מחשב, אלא השתמשו בטריק העתיק ביותר בספר: איפוס הסיסמה.
לטענת מיקרוסופט, במהלך תקופה של 30 יום באוגוסט וספטמבר השנה, האקרים המזוהים ככל הנראה עם ממשלת איראן עקבו אחר 241 חשבונות אימייל והתפשרו על ארבעה בהצלחה. ה-MTIC כינה את הקבוצה זרחנית, והסביר כיצד פעל הצוות.
"השתמשו במידע בזרחן שנאסף ממחקר היעדים שלהם או אמצעים אחרים לאיפוס סיסמה או תכונות שחזור חשבון וניסיון להשתלט על כמה חשבונות ממוקדים", נכתב בפוסט בבלוג. "לדוגמה, הם יחפשו גישה לחשבון דוא"ל משני המקושר לחשבון Microsoft של משתמש, ואז ינסו לקבל גישה לחשבון Microsoft של משתמש באמצעות אימות שנשלח לחשבון המשני."
חשוב לציין, MTIC כותב כי ארבעת החשבונות שנפגעו לא היו קשורים לקמפיין הנשיאותי בארה"ב. אבל, עדיין, זה לא טוב.
מהירות אור ניתנת לריסוק
תכונות לאיפוס סיסמה מגיעות בצורות רבות, החל משאלות לגבי היכן למדת בתיכון או שם הנעורים של אמך ועד שליחת קישור או קוד לכתובת דוא"ל משנית או למספר טלפון. הראשון פותח קורבנות להתקפה על ידי כל מי שיודע איך גוגל עובדת, בעוד שהאחרון הופך את האימייל הראשי שלך לאבטח רק כמו האימייל המשני המקושר או הטלפון הסלולרי שלך.
שימוש לרעה בולט בתכונה זו הגיע בשנת 2008, כאשר סטודנט בן 20 במכללהניגש לדוא"ל יאהו של שרה פייליןחֶשְׁבּוֹן. הוא השתמש במידע כמו המיקוד ויום הולדתה של פיילין כדי לאפס את סיסמת החשבון שלה ולהשיג גישה לחשבון האימייל.
"למרות שההתקפות שאנו חושפים היום לא היו מתוחכמות מבחינה טכנית", מסבירים MTIC, "הם ניסו להשתמש בכמות משמעותית של מידע אישי הן כדי לזהות את החשבונות השייכים למטרות המיועדות להם ובמקרים בודדים כדי לנסות פיגועים".
ראה גם:
אזהרה זו של מיקרוסופט אמורה לשמש תזכורת לכולם באינטרנט שסיסמה לבדה אינה מספיקה כדי להגן על הדוא"ל שלך - במיוחד אם למישהו יש מוטיבציה לפרוץ לחשבון. במקום זאת, השתמשאימות רב-גורמיולמען אהבת האל צור סיסמה ייחודית.
אה, ושקול לוותר על שאלות איפוס הסיסמה האלה לגמרי.
