Nie bądź jak Trump

Święta już o krok, a jak wskazują nasze coroczne statystyki, w końcówce grudnia poziom zagrożeń w widoczny sposób spada. O ile bowiem przed świętami oszuści faktycznie intensyfikują swoje ataki (o czym regularnie pisaliśmy zarówno tutaj, jak i – gościnnie – na blogu Orange Polska) to tuż przed tym, gdy zasiadamy do wigilijnego stołu, wszystko się uspokaja. Czyżby kryminaliści mówili ludzkim głosem kilka dni przed tym, zanim zrobią to zwierzęta?

Ale dość wstępu, pora na ostatni przed świętami tekst. Nieco luźniejszy w wymowie, skoro – jak pisaliśmy – na szczęście w świecie cyberzagrożeń nie dzieje się nic nowego spektaktularnego (tak, wiemy o SolarWinds). Czytaliście może kilka miesięcy temu o tym, jak holenderski bezpieczniak włamał się na Twitterowe konto jeszcze-prezydenta-USA Donalda Trumpa? Nie potrzebował w tym celu dokonywać wielkich cudów i zaprzęgać sprzętu do bruteforce’wania. Po prostu próbował najprostszych, kojarzących mu się z gospodarzem Białego Domu haseł, trafiając za… piątym razem.

MAGA2020!

Tak brzmiało hasło Donalda Trumpa, to akronim od Make America Great Again, z dodanym rokiem kampanii wyborczej i – jakże by inaczej – znaku specjalnego… Swoją drogą, wiecie, że w sytuacji, gdy polityka haseł wymaga dołożenia znaku specjalnego to niemal u wszystkich użytkowników jest to wykrzyknik dodany na końcu? Nie pamiętam dokładnych liczb, ale było to znacznie przeszło 90 procent.

Victor Gevers, który zajrzał na konto Trumpa… drugi raz (podczas pierwszej kampanii hasło brzmiało 'yourefired’, od słów, które wypowiadał w swoim reality show, „żegnając” uczestników, odbył oczywiście serię spotkań, zarówno z holenderskimi organami ścigani, jak i z przedstawicielami amerykańskiego Secret Service. Jak się skończyło? Nie wiadomo, czy Amerykanie mu podziękowali, ale rodacy zapewnili go, że nie będzie za swoją aktywnośc ścigany. Niewątpliwie pomógł fakt, że Gevers jest white hat hackerem od przeszło 20 lat, a także to, że po włamaniu od razu poinformował o tym odpowiednie służby.

Nie bądź jak Trump

Co mógł zrobić Donald Trump? Co zrobić, byśmy my nie padli ofiarą aktywności oszusta, przestępcy, czy pospolitego żartownisia? Warto wyciągnąć wnioski ze wpadki 45. Prezydenta USA i śmiałego przedsięwzięcia Victora Geversa.

• nie używać do zabezpieczenia wrażliwych kont zbyt łatwych haseł…
  • …czyli takich, które łatwo skojarzyć z nami, a także składających się wyłącznie z wyrażeń słownikowych
• włączyć uwierzytelnianie dwuskładnikowe
  • najlepiej przy użyciu fizycznego klucza U2F, ewentualnie aplikacji, na pewno nie SMSa
• włączyć dodatkową ochronę hasłem (wtedy podczas zmiany hasła trzeba będzie podać numer telefonu lub adres e-mail powiązany z kontem)
• nie dublować (nie wiemy, czy robił tak Trump, zakładamy też, że Gevers tak dalece nie zaryzykował) haseł przynajmniej w serwisach wrażliwych/wysokiego ryzyka (media społecznościowe, mail, bank, konto służbowe)
• raz na jakiś czas sprawdzać aktywne sesje Twittera (z poziomu strony WWW) i usuwać te, co do których nie mamy pewności, że są nasze

Bądźcie bezpieczni. Odpocznijcie w święta tak dobrze, jak tylko potraficie, w tak szerokim gronie w jakim tylko prawo i zdrowy rozsądek zezwalają.