Na crnom tržištu je dostupno 1,9 milijardi ukradenih korisničkih imena i lozinki. Sa svakom četvrtom lozinkom moguće je upasti u neki drugi korisnički račun na Googleu, pokazalo je nedavno istraživanje.
Istraživači iz Googlea i Univerziteta Berkely objavili su rezultate istraživanja obavljenog na Googleovim vlastitim, pomno kontroliranim internim podacima kako bi utvrdili može li se išta napraviti s korisničkim lozinkama i lozinkama koje je moguće kupiti na crno.
Njihovi zaključci su prilično uznemirujući. Između sedam i 25 posto ukradenih lozinki moguće je upotrijebiti kako bi se preuzela kontrola nad drugim korisničkim računom pri Googleu. Hakeri jednostavno probaju sve lozinke nadajući se kako će naletjeti na neku koju se često koristi.
U prilog im ide i loša navika velikog broja ljudi da često koriste istu lozinku kako bi pristupili do više internetskih servisa. Zahvaljujući tome dovoljno je upasti u slabije čuvani servis i potom ga upotrijebiti za upad u sistem s boljom zaštitom.
Od toga nisu imuni ni oni koji bi morali znati bolje, poput suosnivača i direktora Facebooka Marka Zuckerberga, koji je koristio istu lozinku (dadada) za pristup svojim korisničkim računima na Twitteru i Pinterestu, a koje je prošle godine nakratko bio preuzeo hakerski tim OurMine. Među njihovim žrtvama bili su i i glavni direktor Googlea Sundar Pichai, glumac Channing Tatum i šef tehnike Amazona Werner Vogels.
Istraživači su također proučavali i specifične oblike zlonamjernog softvera korištenog za phishing i potajno bilježenje šta žrtva napada tipka (tzv. keyloggeri kao što su HawkEye i Cyborg Logger).
Alate za phishing se koristi za ubacivanje poveznica u lažnu e-poštu koje vode na web odredišta koja izgledaju kao da su pravi Yahoo, Hotmail i tome slično te koriste neopreznost korisnika za krađu korisničkih imena i lozinku. Procjenjuje se kako je 12,4 miliona potencijalnih žrtava takvih alata.
Nemali broj razvojnih programera prodaje i distribuira te vrste zlonamjernog softvera. No, zanimljivo, sama tehnologija na kojoj počivaju nije se značajno mijenjala u nekim slučajevima od sredine dvijehiljaditih.
Kompanije i pojedinci na raspolaganju imaju nekoliko jednostavnih koraka za zaštitu.
Prvi je aktiviranje dvostepene provjere, koja će od vas tražiti unos posebne lozinke koja će vam obično stići SMS-om kako bi se ulogirali.
Preporučuje se korištenje alata za upravljanje lozinkama (password manager), iako ni oni nisu sasvim imuni na hakerske napade i upade. No, korisni su zato što stvaraju nove nasumične lozinke za svako web odredište, pa ako hakeri i uspiju upasti u jedan vaš račun neće im baš biti sasvim jednostavno provaliti i u drugi.
Nemojte koristiti jednostavne i očite lozinke, kao što su 123456 ili abc123. Osmislite snažnu lozinku, koja će se sastojati od barem osam znakova te kombinirati slova i brojeve. Također, ne koristite istu lozinku za više internetskih servisa.