Comment quelqu'un a-t-il obtenu mon mot de passe?

Avez-vous déjà reçu un e-mail de «sextorsion» vous informant que votre ordinateur a été piraté et vous avertissant que si vous ne payez pas, ils publieront des vidéos de nature intime dans toute votre liste de contacts? L'e-mail incluait-il un ancien mot de passe comme «preuve» que leurs affirmations étaient vraies? Vous êtes-vous demandé comment ils ont obtenu votre mot de passe?

Qu'est-ce que le phishing?

Statistiquement, cela provenait probablement d'un e-mail de phishing. En 2018, 93% de toutes les violations dans le monde ont commencé par une attaque de phishing ou de prétexte.

Les e-mails de phishing sont extrêmement courants et très efficaces. Ils utilisent des émotions telles que la peur et la honte (dans les courriels de sextorsion ou les `` publicités d'amélioration masculine ''), l'urgence (mon patron en a besoin maintenant!), Ou la cupidité (j'ai gagné une nouvelle voiture ??).

Ils peuvent également être envoyés par SMS (SMiShing), voix (vishing), e-mail (hameçonnage) et hameçonnage sur les réseaux sociaux.

Plus les gens s'adaptent, plus les pirates informatiques changent de réponse - leurs tactiques évoluent constamment.  

Les e-mails de phishing contiennent généralement un lien ou une pièce jointe. Une fois que vous avez cliqué sur le lien ou ouvert la pièce jointe, ils peuvent installer des logiciels malveillants sur votre appareil ou vous inciter à entrer vos informations d'identification dans un faux site (qui ressemble au site réel). Le logiciel malveillant vérifiera s'il peut exploiter des vulnérabilités non corrigées afin d'installer plus de logiciels malveillants sur votre système (qui peuvent ensuite voler des mots de passe, installer des enregistreurs de frappe pour enregistrer toutes vos frappes - et donc vos mots de passe! - et ainsi de suite).

Une fois que le pirate a volé vos informations d'identification, il peut faire des choses comme exfiltrer vos données financières personnelles ou vos informations de compte, ou celles de vos clients si cela se produit sur l'appareil de votre entreprise.

Le phishing mérite entièrement son propre article, donc si vous souhaitez apprendre à phishing, consultez cet article.

Comment pouvez-vous empêcher le phishing de vous toucher?

Se défendre contre le phishing est également difficile. En tant qu'individu, la meilleure chose que vous puissiez faire est de faire preuve de prudence lorsque vous ouvrez des e-mails - méfiez-vous des e-mails qui jouent sur vos émotions, vous demandent de prendre des décisions rapides ou semblent trop beaux pour être vrais.

Recherchez les expéditeurs inhabituels (reconnaissez-vous la personne qui vous envoie un e-mail? S'agit-il de la même adresse e-mail qu'ils ont utilisée auparavant?), Ou de liens ou de pièces jointes inattendus. Si vous ne savez pas si un e-mail est légitime, confirmez qu'il provient de l'expéditeur via une autre méthode de communication.

Vous devez également utiliser un logiciel antivirus et de protection des terminaux. La version payante est meilleure que la version gratuite, car elle est mise à jour à mesure que de nouveaux logiciels malveillants sont identifiés. Mais la version gratuite est généralement meilleure que rien. J'aime Malwarebytes pour les ordinateurs portables.

Les équipes de sécurité utiliseront une myriade d'outils:

  • des mécanismes de filtrage des e-mails qui tentent de réduire les e-mails de phishing et de spam qui atteignent les boîtes de réception des utilisateurs,
  • des mesures telles que SPF, DKIM et DMARC qui peuvent aider à authentifier qu'un e-mail dit la vérité sur son origine,
  • formation de sensibilisation des utilisateurs,
  • et les mécanismes de protection des terminaux.

Les mécanismes de protection des terminaux peuvent aller du simple antivirus aux agents installés sur chaque appareil. Ceux-ci essaieront d'empêcher les logiciels malveillants connus de s'exécuter, d'identifier les comportements inhabituels et d'empêcher les processus malveillants de s'exécuter en alertant une équipe chargée des opérations de sécurité ou en forçant le programme à se fermer.

De cette façon, même si l'e-mail passe à travers les filtres et que l'utilisateur ne remarque rien d'anormal, la protection du point final empêchera le malware d'endommager réellement la machine.

Sinon, comment quelqu'un aurait-il pu obtenir mon mot de passe?

Souvent, lorsqu'un pirate informatique enfreint une entreprise, il vend les noms d'utilisateur et les mots de passe qu'il a obtenus sur le dark web.

Surface Web: ce que vous pouvez trouver sur Google ou d'autres moteurs de recherche populaires. C'est probablement ce que vous considérez comme Internet. Par rapport au Web profond, il s'agit d'une très petite partie des informations qui sont «en ligne». Web profond: informations en ligne, mais non indexées (interrogeables) par Google et d'autres navigateurs populaires. Il s'agit d'informations telles que celles contenues dans les bases de données gouvernementales ou universitaires. Souvent, ces informations sont cachées derrière un paywall ou un autre mécanisme de restriction. Web sombre:Le dark web nécessite certains navigateurs, comme un «navigateur TOR» pour y accéder. Une partie de ce contenu, mais pas la totalité, est illégale. C'est souvent un endroit où les criminels se réunissent pour parler sur des forums, vendre des services et des biens illégaux, et parfois des militants vivant sous des régimes répressifs se rassemblent pour communiquer.

Si vous réutilisez des mots de passe et des noms d'utilisateur entre différents sites Web (d'autant plus que votre e-mail est probablement utilisé comme nom d'utilisateur pour de nombreux sites Web), un pirate informatique peut déjà avoir votre nom d'utilisateur et votre mot de passe.

Le hacker effectuera alors quelque chose appelé «bourrage d'informations d'identification». Le bourrage d'informations d'identification se produit lorsqu'un attaquant prend ces noms d'utilisateur et mots de passe et les connecte à un `` vérificateur de compte '' automatisé qui essaie essentiellement la combinaison nom d'utilisateur / mot de passe sur de très nombreux sites différents sur Internet, des connexions aux réseaux sociaux aux comptes bancaires. Si le mot de passe fonctionne, le pirate a désormais accès au compte et peut vider un compte, vendre les données, etc.

Pour une meilleure description, consultez la bande dessinée de XKCD ci-dessous.

Comment vous défendez-vous contre le bourrage d'informations d'identification?

Ne réutilisez pas vos mots de passe. Utilisez un gestionnaire de mots de passe comme 1Password ou LastPass. KeePass est (à mon avis) moins convivial, mais c'est gratuit!

Les gestionnaires de mots de passe peuvent stocker vos mots de passe en toute sécurité et ont souvent des extensions de navigateur et des applications afin de pouvoir remplir automatiquement vos mots de passe sur de nombreux comptes. De plus, vous ne devez vous souvenir que d'un mot de passe principal de cette façon. Mais votre mot de passe principal donne désormais accès à tous vos autres mots de passe, alors assurez-vous qu'il est très fort!

Ils peuvent également vous aider à générer automatiquement des mots de passe très forts, et certains ont même des coffres pour que vous puissiez stocker d'autres informations sensibles (coordonnées bancaires, informations d'assurance, etc.).

J'utilise personnellement 1Password parce que j'aime l'option de compte familial - si un membre de votre famille est verrouillé, quelqu'un d'autre peut réinitialiser le mot de passe de son compte (mais n'aura pas accès à votre coffre-fort individuel).

Vous pouvez également configurer des alertes gratuites avec Have I Been Pwned. Ce site regroupe des informations sur les violations de données et offre aux consommateurs la possibilité d'utiliser ces informations pour se protéger. Vous pouvez accéder à l'onglet «Me notifier» en haut et saisir votre adresse e-mail.

Après avoir confirmé l'adresse e-mail que vous avez saisie (où elle fournira votre exposition actuelle), le site vous enverra un e-mail chaque fois que votre e-mail est impliquée dans une violation de données. Autrement dit, toute violation dont le site est alerté - leur couverture est très bonne, mais aucune source unique ne contiendra toutes les violations de données divulguées. De cette façon, vous pouvez simplement modifier le mot de passe concerné et vous n'aurez pas à vous soucier de l'impact sur l'un de vos autres comptes.

Si vous travaillez sur la sécurité pour une grande organisation, un logiciel de gestion des mots de passe d'entreprise (les mêmes sociétés énumérées ci-dessus fournissent ces services) est une excellente idée, ainsi que des politiques de mot de passe strictes (obligeant vos employés à utiliser des mots de passe suffisamment forts). Have I Been Pwned dispose également d'un service qui permet au propriétaire du domaine de surveiller les violations impliquant n'importe quel e-mail sur le domaine (et c'est gratuit!).

Sinon, comment les pirates obtiennent-ils des mots de passe?

Il existe quelques autres possibilités - surfer sur l'épaule ou simplement vous regarder taper votre mot de passe - bien que cela soit peu probable étant donné que la personne doit vous surveiller physiquement.

Ensuite, il y a le vol de mots de passe qui ont été écrits, ou simplement des images de mots de passe écrits qui sont visibles sur les photos. Encore une fois, cela est beaucoup moins probable que l'une des options ci-dessus car cela provient généralement d'une attaque ciblée (ce qui est intrinsèquement moins courant que les crimes d'opportunité).

Éviter ces deux éléments est assez simple: ne laissez personne vous regarder entrer votre mot de passe et n'écrivez pas votre mot de passe. Utilisez plutôt un gestionnaire de mots de passe! Si vous devez simplement l'écrire, stockez-le dans un endroit où il est peu probable que quelqu'un le cherche ou le trouve par accident. Je suggérerais le fond d'une boîte de tampons. Beaucoup plus sûr qu'une note autocollante sur votre moniteur.

Il semble vraiment facile de se faire pirater. Dois-je m'inquiéter?

La chose la plus importante à retenir à propos du piratage est que personne ne veut faire plus de travail qu'il n'en a à faire. Par exemple, s'introduire chez vous pour voler votre carnet de mots de passe est beaucoup plus difficile que d'envoyer des e-mails de phishing de l'autre côté du monde. S'il existe un moyen plus simple d'obtenir votre mot de passe, c'est probablement ce qu'un acteur malveillant essaiera en premier.

Cela signifie que l'activation des meilleures pratiques de base en matière de cybersécurité est probablement le moyen le plus simple d'éviter d'être piraté. En fait, Microsoft a récemment signalé que la simple activation de l'authentification à deux facteurs finira par bloquer 99,9% des attaques automatisées.  

Alors, activez 2FA, utilisez un gestionnaire de mots de passe pour générer automatiquement des mots de passe longs, complexes et uniques pour chaque compte, et réfléchissez avant de cliquer! Évitez de cliquer sur des liens et des pièces jointes incomplètes ou inattendues, et restez vigilant.