Uważaj na strony, które oferują sprawdzenie hasła

, Security awareness, ZZOLD porady

Po szeroko nagłośnionych włamaniach lub naruszeniach danych, możesz natknąć się na witrynę typu “password check” sprawdzającą hasła, które mogły być przejęte przez przestępców. Niektóre z nich rzeczywiście działają. Takie zazwyczaj proszą tylko o adres email i wtedy dokonują sprawdzenia, często w wielu dostępnych repozytoriach danych zawierających informacje o przejętych hasłach do kont pocztowych i innych serwisów.

Ale są też niestety serwisy fałszywe, które również proszą o podanie danych do logowania, ale de facto są często tylko serwisami podszywającymi się pod inne strony tego typu. Bywa też, że dane te mają być wykorzystane do sprawdzenia czy podane hasło jest odpowiednio silne.

Opis przypomina phishing?  I to jest dobre skojarzenie.

Dlatego jako punkt wyjściowy warto zastosować zasadę ograniczonego zaufania i traktować wszystkie serwisy tego typu jako oszustwa. Dopiero dokładna weryfikacja powinna być związana z zielonym światłem na sprawdzenie naszego statusu bezpieczeństwa.

Przykładem serwisu, który dobrze wyjaśnia, że należy uważać na oszukańcze strony jest ten, który powstał w następstwie niedawnego włamania do sieci społecznościowej Twitter. Chodzi o serwis o nazwie ismytwitterpasswordsecure(dot)com. Strona została stworzona przez Alastaira Coote i wygląda dość prosto:

Na stronie jesteśmy proszeni o wpisanie nazwy użytkownika i hasła do serwisu Twitter, w celu sprawdzenia czy korzysta się z dostatecznie dobrego hasła. Zawiera również „funkcję” zapamiętania użytkownika i zapomnienia podanego przez niego hasła, co jest dość dobrym żartem autora strony.

W każdym bądź razie próba wpisywania nazwy użytkownika lub hasła kończy się „wściekłym” komunikatem o następującej treści: NIE BĄDŹ IDIOTĄ! Autor dość brutalnie wyjaśnia, że jeśli nie jesteś w autentycznym serwisie Twittera, Facebooka czy LinkedIna to po prostu nie podawaj swoich danych do logowania.

Na koniec warto sobie samemu zadać pytanie i szczerze na nie odpowiedzieć. Czy gdybym sam natknął się na taką stronę, to skorzystałbym z oferowanej „usługi”?

 

Źródło: http://nakedsecurity.sophos.com

Share Button

Category

Security awareness, ZZOLD porady

Date

You May Also Like

Analiza wytycznych MAiC w sprawie ochrony portali rządowych

Największy atak DdoS w historii sieci Internet.

Tymczasowa poprawka na lukę w Internet Explorerze 8

O bezpieczeństwie w cyberprzestrzeni

Jak zhakowałem swój dom.

Rada Ministrów przyjęła Narodowy Program Ochrony Infrastruktury Krytycznej

More Posts From: Security awareness, ZZOLD porady

Cyber, Cyber… – 138 – Jak działa wtyczka do zgłaszania nielegalnych treści? Rozmowa z Martyną Różycką (Dyżurnet.pl)

Cyber, Cyber… – 137 – O Apple, Białorusi i kradzieży kryptowalut

Cyber, Cyber… – 136 – Bezpieczeństwo danych na wczasach (pytania i odpowiedzi)

Zabezpiecz swoje konto na Facebooku

Jak prawidłowo pozbyć się sprzętu?

Modelowanie zagrożeń z wykorzystaniem MITRE ATT&CK Framework w praktyce