Τι διδάσκει το χακάρισμα των λογαριασμών του Αντετοκούνμπο
Hackers 'μπήκαν' στη σελίδα του Γιάννη Αντετοκούνμπο στο Twitter, το κινητό του τηλέφωνο, το email και τους τραπεζικούς του λογαριασμούς και προκάλεσαν πανικό, με απρεπή σχόλια για τους ΛεΜπρον Τζέιμς, Στεφ Κάρι και την οικογένεια του αείμνηστου Κόμπι Μπράιαντ. Τι πρέπει να μάθουμε από το συμβάν.
H αλήθεια είναι πως αυτό που έπαθε ο Γιάννης Αντετοκούνμπο τα ξημερώματα δεν είναι πρωτοφανές. Βλέπεις, ένα από τα ‘παιχνίδια’ των hackers είναι να προσπαθούν να ‘μπουν’ στα πιο δύσκολα ‘εδάφη’ -σε υπηρεσίες που διαφημίζουν την υπερπροσπάθεια που ‘χουν κάνει για να τους κρατούν μακριά. Προφανώς το Twitter έχει να διαχειριστεί μια νέα κρίση, μετά το χθεσινό συμβάν. Δεν είναι το μόνο. Ας δούμε τι έγινε.
Το απόγευμα της Πέμπτης (στις ΗΠΑ, εδώ ήταν ξημερώματα) εμφανίστηκαν τιτιβίσματα που φαίνονταν να ‘χουν γραφτεί από το Greek Freak και είχαν ρατσιστικό και γενικότερα προβληματικό περιεχόμενο. Κάποια απευθύνονταν στον Κρις Μίντλετον, τον ΛεΜπρον Τζέιμς, τον Στεφ Κάρι και τη σύζυγο του, Αΐσα, αλλά και στην οικογένεια του αείμνηστου Κόμπι Μπράιαντ. Ένα από τα tweets δεν είχε προσβλητικό περιεχόμενο, αλλά αναφερόταν στη φήμη που τον θέλει να πηγαίνει στο Γκόλντεν Στέιτ -και δημιούργησε ένα κάποιο χάος στους απανταχού φαν που εν καιρώ κορονοϊού δεν έχουν και να ασχοληθούν με πολλά θέματα επικαιρότητας.
Tα παλιά τα χρόνια, όταν είχα μηχανή, ο εξάδελφος μου με είχε ενημερώσει πει πως “ό,τι και αν βάλεις σε αντικλεπτικό, αν θέλει κάποιος να στην κλέψει, θα στην κλέψει. Απλά, όσα περισσότερα βάλεις, τόσο πιο πολύ θα τον δυσκολέψεις και ενδεχομένως να πάει στην επόμενη”. Κάτι αντίστοιχο ισχύει για τους hackers και ό,τι υπηρεσία χρησιμοποιούμε στο διαδίκτυο.
Σε περίπτωση που δεν το γνωρίζεις οι hackers έχουν ειδικά προγράμματα εύρεσης των passwords, που απλά τα θέτουν σε λειτουργία και σε ελάχιστο χρόνο ακούγεται το eureka. Όταν έχουμε το ίδιο password για ό,τι χρησιμοποιούμε online, υπάρχει ξεκάθαρο πρόβλημα. Όχι ότι δεν θα βρουν τα διαφορετικά, αλλά τους διευκολύνουμε -περισσότερο.
Προφανώς και ο μηχανισμός ‘πάταξης’ του εγκλήματος (του hacking που ‘χε γίνει όχι μόνο στο λογαριασμό του Twitter, αλλά στο τηλέφωνο, το email και τους τραπεζικούς λογαριασμούς του Αντετοκούνμπο) ενεργοποιήθηκε άμεσα και πέντε ώρες μετά ο διεθνής Έλληνας ανέκτησε τον έλεγχο του λογαριασμού του -όπως ενημέρωσε με μακροσκελές post.
Το hackαρισμα των λογαριασμών που ‘χουν superstars (και όχι μόνο) στα social media ήταν, παλαιότερα, αγαπημένη συνήθεια αυτών που ‘χουν τα μέσα και τις γνώσεις για να το κάνουν. Όλες οι εταιρίες πήραν μέτρα (ένα ήταν να προσλάβουν τους καλύτερους hackers). Σε ό,τι αφορά το Twitter, έπεσε θύμα αντεπίθεσης την τελευταία ημέρα του Αυγούστου, με το hacking στο λογαριασμό του CEO της εταιρίας, Τζακ Ντόρσι. Εμφανιζόταν να ‘χει γράψει πως “η Γερμανία των Ναζί δεν έκανε κάτι κακό“. Σημείωσε πως το Twitter είχε ανέκαθεν πρόβλημα με τους οπαδούς των Ναζί και τους λοιπούς εξτρεμιστές -γιατί έκανε τα πάντα, ώστε να μην μπορούν να δρουν ανεξέλεγκτα και κατά το δοκούν.
Το νέο πρόβλημα προσδιορίστηκε ως SIM swap attack -η εταιρία ΑΤ&Τ ήταν στο επίκεντρο- και σε απλά ελληνικά αφορούσε τη δωροδοκία -ή τον εκβιασμό- υπαλλήλων, ώστε να αλλάξουν ‘βάλουν’ τον αριθμό συγκεκριμένης κάρτας SIM σε άλλη συσκευή και έτσι να ‘νικηθεί’ το μεγαλύτερο εμπόδιο που υπήρχε έως τότε και λεγόταν two-factor authentication.
Τι είναι το 2FA
Το Verge είχε κάνει λεπτομερή ανάλυση για τον τρόπο που λειτουργούσε το εξτρά μέτρο ασφαλείας που πρόσθεσαν οι εταιρίες κοινωνικής δικτύωσης -ώστε εμείς, οι χρήστες να προφυλασσόμαστε περισσότερο. Δες το video που ακολουθεί.
Το 2FA (two-factor authentication) είναι διαδικασία που δίνει δευτερεύουσα πρόσβαση στις υπηρεσίες του διαδικτύου, στον ιδιοκτήτη του όποιου λογαριασμού, ώστε να επιβεβαιώσει ότι γίνεται απόπειρα σύνδεσης. Συνήθως η διαδικασία περιλαμβάνει τον αριθμό του τηλεφώνου ή/και τη διεύθυνση του email. Όταν προσπαθείς να μπεις σε μια υπηρεσία, χρησιμοποιείς το κινητό σου τηλέφωνο για να επιβεβαιώσεις πως είσαι εσύ που κάνεις το click, είτε με ενεργοποίηση link που σου στέλνει η υπηρεσία στο email ή με γραπτό μήνυμα, είτε πληκτρολογώντας έναν αριθμό που σου στέλνουν. Το ιδανικό σενάριο θέλει τους χρήστες να ‘χουν ‘κατεβάσει’ και εφαρμογή ελέγχου ταυτότητας. Τα authenticator apps θεωρήθηκαν πιο ασφαλή από τα γραπτά μηνύματα και παρείχαν στους χρήστες την άνεση να κάνουν την επιβεβαίωση και όταν ταξίδευαν στο εξωτερικό. Μπορείς να το ενεργοποιήσεις με μια ‘επίσκεψη’ στα settings and privacy του όποιου μέσου κοινωνικής δικτύωσης έχεις.
Ενώ η θεωρία ήταν πως οι hackers μπορούν να βρουν τα passwords, αλλά δεν έχουν το κινητό σου τηλέφωνο -όπου αποστέλλονται τα μηνύματα ταυτοποίησης-, η SIM swap attack την κατέρριψε. Ώσπου τακτοποιήθηκε και αυτό -μέχρι να παρουσιαστεί ο επόμενος με τη διάθεση να προκαλέσει πανικό.
Το ηθικό δίδαγμα της όλης ιστορίας είναι ‘να αλλάζετε τακτικά το password και να μην είναι το ίδιο για όλους τους λογαριασμούς’. Επίσης, είναι χρήσιμο να είναι σύνθετο (με αριθμούς, γράμματα, σύμβολα -τα πάντα όλα) και να μην εμπιστεύεσαι τα third-party app (που ποστάρουν αλλού, εκ μέρους σου -ας πούμε). Όπως γράφει το Medium “γενικά, χρησιμοποιείστε το μυαλό σας και μη δίνεται λεπτομέρειες για το login σε διαφορετικά websites, όταν σας το ζητούν. Για παράδειγμα, αν θέλετε να μπείτε στο Facebook, μπείτε με τον παραδοσιακό τρόπο (log in) και όχι με τον εύκολο -τον απευθείας, το save). Έχετε υπ’ όψιν σας πως οι περισσότερες επιτυχημένες επιθέσεις των hackers οφείλονται στο ανθρώπινο λάθος που απερίσκεπτα ‘αφήνει’ ανοιχτή την πόρτα στους hackers“.