Sikkerhedsekspert: »Det er frygteligt nemt« at hacke andres sociale medie-konti

Ifølge Keld Norman, er det let at hacke sig ind på andres sociale medie-konti, men der er flere metoder, man kan bruge til at beskytte sig mod hackere. Illustration: Dubex
Man behøver ikke at være en rutineret hacker for at skaffe sig adgang til andres konti på sociale medier, lyder det fra sikkerhedsekspert. Det illustrerer en ny sag, hvor Politiet har varetægtsfængslet en 26-årig mand for at hacke sig ind på 500 kvinders sociale medie-konti og stjæle intime billeder. Men løsningen ligger ligefor.

Flere end 500 kvinders e-mail, Snapchat og Facebook-konti er blevet kompromitteret af en 26-årig mand, der nu sidder varetægtsfængslet for de digitale indbrud, hvor han stjal intime billeder og videomateriale af ofrene, skrev Berlingske i mandags.

Men gerningsmanden er ikke nødvendigvis et hacker-geni, vurderer Keld Norman, der er it-sikkerhedsspecialist hos it-sikkerhedsvirksomheden Dubex.

»Det er frygtelig nemt, desværre,« konstaterer han

Kriminelle tjener nemlig penge på at hacke tjenester som for eksempel Facebook og LinkedIn for at få fat i brugernes kodeord. Herefter sætter de enten oplysningerne til salg på nettet eller lægger dem ud til fri afbenyttelse.

»Hackeren har sandsynligvis været på dark web, på Piratebay eller bare Googlet ‘password leaks’ for at finde de lækkede kodeord. Nogle gange indeholder listerne både brugernes login og kodeord i klar tekst – andre gange er kodeordene krypteret og skal køres igennem en ‘password cracker’, før de kan bruges,« siger sikkerhedseksperten.

Nye kodeord er krypterede

For nogle år siden opbevarede man kodeordene i klar tekst, men i dag er oplysningerne for det meste krypteret. Derfor indeholder de nyere leaks næsten altid krypterede kodeord, og den kriminelle må køre dem igennem en ‘password cracker’, som er tilgængelig gratis online.

Det er lange lister med kodeord fra tidligere ‘password leaks’, som fandt sted, dengang man opbevarede oplysningerne i klar tekst. Hackerne krypterer de gamle kodeord og kører dem igennem den nye, lækkede data for at se, om der findes en identisk tekststreng.

»Det kan for eksempel være, at man engang har brugt et kodeord, der hedder ‘Sommer2001!’. Så krypterer hackerne det og tjekker, om tekststrengen passer med et af de nyere lækkede, krypterede kodeord,« siger han.

Hvis der findes en identisk tekststreng i den nye data, og den er tilknyttet Keld Normans konto, så ved de kriminelle, at han ikke har skiftet kodeord i flere år, og man kan taste ‘Sommer2001!’ for at logge ind på sikkerhedsekspertens Facebook-konto, uddyber han i et fiktivt eksempel. Man kan også købe loginoplysninger, hvor hackerne allerede har brudt mange af kodeordene.

Selvom man ændrer sine loginoplysninger regelmæssigt, kan hackerne stadig bruge den gamle data:

»Fordi folk er vanemennesker, giver selv gamle oplysninger en masse viden til hackerne om, hvad man kan finde på at vælge som kodeord i dag. Mange gange er det næsten det samme,« siger sikkerhedseksperten og uddyber, at mange bruger navnene på deres partner, børn eller kæledyr i kodeordene.

»Der er nogle grundmønstre i, hvordan mennesket tænker, og dem kender og udnytter hackerne til at bryde kodeord, selvom man har skiftet det siden sidste læk.«

Det er dog kun én af metoderne, som den 26-årige hacker kan have brugt til at stjæle intime billeder og videoer af over 500 ofre. Han kan også have installeret en keylogger på et bibliotek, brugt ‘social engineering’, ‘phishing’ eller mange andre metoder, ifølge Keld Norman. Han tror mest på den første, da det omhandler så stort et antal ofre.

Læs også: Sikkerhedsekspert: »Det er frygteligt nemt« at hacke andres sociale medie-konti

Flere og flere bliver krænket digitalt

Det vrimler med kriminelle på nettet, der leder efter piger og drenge, de kan krænke digitalt, og det er et stigende problem. Det fortalte Justitsministeriet i sin nye politiaftale, som blev offentliggjort i december sidste år.

»Der ses en stor stigning i kriminaliteten på internettet, hvor borgerne færdes i stigende omfang. Det gælder eksempelvis sager om databedrageri, digital afpresning og sexkrænkelser samt deling af billeder og videoer med ulovligt indhold,« skriver man i aftalen, der også lover en ny digital politienhed, som skal bekæmpe kriminaliteten.

Det er især de små, som har brug for beskyttelse, fortalte Red Barnet i januar. Organisationens SletDet-rådgivning modtog rekordmange henvendelser fra børn og unge og oplevede en stigning på 87 procent i forhold til året før. I alt spurgte 1319 børn om hjælp, hvoraf en tredjedel handlede om digitale sexkrænkelser.

2FA er vejen til sikkerhed

To-faktor-godkendelse er det bedste middel mod at blive hacket på sociale medier eller mail, vurderer Keld Norman:

»Der er én ting, alle mennesker kan gøre for at undgå at blive hacket på den måde, og det er at slå to-faktor til.«

Hvis man har slået to-faktor-godkendelse til, skal man bruge to koder for at logge ind. Når man taster sin personlige kode til Facebook eller en anden tjeneste, popper der enten en notifikation op på ens telefon, ellers skal man gå ind i en to-faktor-app på sin enhed.

Læs også: SolarWinds-hackere stjal mails fra Homeland Security-direktør

Her finder man en anden, unik kode, som man skal skrive, før man får adgang til tjenesten.

»Hvis jeg har dit login og dit rigtige kodeord, og jeg prøver at logge ind på din konto, vil to-faktoren poppe op på din telefon, som jeg ikke har adgang til, og forhindre mig i at komme ind på din konto,« siger han.

Selvom funktionen, ifølge Keld Norman, beskytter rigtig godt mod sociale medie-hackere, så er metoden for besværlig til, at virksomhederne bag tjenesterne gør det til login-defaulten.

Dog er det blevet meget nemmere de seneste par år - især hvis man integrerer hele sit digitale liv hos en tjeneste som Google. Så skal man bare være parat til at acceptere dataindsamlingen, påpeger han.

‘Password manager’ gør sikkerhed nemmere

En metode, man kan bruge til at sikre, at man ikke genbruger et kodeord, er en ‘password manager’. Den er typisk et plugin, man kan tilføje sin browser, og den hjælper brugeren med at lave nye kodeord.

»Når du møder et login på en hjemmeside, så fylder den login og kodeord ud for dig. Og når du skal lave et kodeord, så popper password manageren op og spørger, om den skal hjælpe med at lave et sikkert kodeord,« siger Keld Norman.

Funktionen fylder mange karakterer - måske 60 - ind i kodeords-feltet og gemmer det, så brugeren ikke behøver at huske koden. Den eneste kode, man selv skal huske, er login til password manageren.

»Ens digitale liv bliver faktisk nemmere af at bruge en password manager, men hvad hvis ens password manager bliver hacket? Så har man to-faktor-godkendelse på. Men ofte er de gode til at gemme kodeord. Det er det, de lever af,« fortæller han.

Læs også: Sikkerhedsforskere finder ny malware til Android

Sikkerheden kan blive bedre

Ifølge Keld Norman, var der meget få, som brugte to-faktor-godkendelse for fire eller fem år siden. Så begyndte sociale medier og andre tjenester at pitche funktionen til brugerne, og flere er blevet opmærksom på, at det findes.

»I dag er metoden det første, virksomheder får at vide, når de skal have sikkerhedsrådgivning, men mange bruger det ikke. Privat set er mange begyndt at bruge det i dag, men langt fra nok,« siger sikkerhedseksperten.

Han uddyber, at mange har slået det til på sin Facebook, fordi tjenesten har gjort brugerne opmærksom på det, men ofte glemmer man det andre steder.

»Det er måske umiddelbart uoverskueligt at skulle finde ud af, hvordan man slår to-faktor til, men tiden og energien brugt på det er godt givet ud, hvis alternativet er, at man bliver hacket.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Asbjørn Thegler

Hej Louise,

Tak for artiklen! :)

Dog vil jeg henlede dig på at der er stor forskel på kryptering og hashing. Kryptering gøres netop for at kunne dekryptere på et senere tidspunkt. Hashing er lavet til ikke at blive un-hashed.

I artiklen nævner du kun kryptering, men jeg fornemmer at du i virkeligheden mener hashing. Se evt.:

https://gcn.com/articles/2013/12/02/hashing-vs-encryption.aspx eller https://www.thesslstore.com/blog/difference-encryption-hashing-salting/

mvh Asbjørn

  • 3
  • 0
#3 Povl H. Pedersen

Det er vel ikke "hacking" at bruge well-known passwords der er lækket/genbrugt.

Hacking anser jeg for at være noget der kræver et større skill-set end script-kiddie niveau.

Men jeg er enig i, at password re-use er en kæmpe-trussel. Passwords Managers er en nødvendighed for at have sikkerhed, og MFA de steder hvor man kan slå det til.

Man skal dog huske at SMS som MFA ikke er meget værd. Og slet ikke hvis man bruger Android. SMS systemet som sådan er vist "hacket" den ene gang efter den anden. Og Android har haft masser af malware der videresender SMS'er.

  • 0
  • 0
#5 Eskild Nielsen

I den ene af de 2 sager om uretmæssig adgang til vandværkers IT systemer, som vi har kunnet læse om for nylig, så blev det betegnet som 'hacking' selvom der 'bare' var tale om at bruge en systemadgang som han ikke længere var berettiget til...

Det gør så ikke hans handling mindre alvorlig

  • 0
  • 0
Log ind eller Opret konto for at kommentere