2013-10-16 103
| Д1: Кража аккаунта | - О кражах аккаунтов |
О кражах аккаунтов
Вступление
Эта статья предназначена для разъяснения пользователям, как, когда и каким образом они чаще всего теряют свои аккаунты, а так же каким образом этого можно избежать.
Сразу же стоит определиться в понятиях и развенчать популярное заблуждение о том, что любая "кража" равна "взлому". Эти термины не стоит путать, т.к. в первом случае вина за происшедшее лежит целиком и полностью на пользователе, в то время как во втором - на разработчиках ресурса. Давайте разберем каждый из них и посмотрим, как это происходит.
Сразу же стоит определиться в понятиях и развенчать популярное заблуждение о том, что любая "кража" равна "взлому". Эти термины не стоит путать, т.к. в первом случае вина за происшедшее лежит целиком и полностью на пользователе, в то время как во втором - на разработчиках ресурса. Давайте разберем каждый из них и посмотрим, как это происходит.
Кража
Кража аккаунта это получение от него логина и пароля "из рук" пользователя. Самые распространенные способы краж (в порядке убывания частоты случаев):
- непосредственная выдача пароля злоумышленнику (как бы глупо это не звучало, но большинство проблем с аккаунтами связано именно с добровольной отдачей пароля под честное слово и обещание делать только то, что разрешил владелец)
- прием по Skype приложения от друга/знакомого/кого угодно еще, которое якобы делает какую-то там крутую штуку, а в реальности собирает пароли, куки (вы же сохраняете пароль в браузере, чтобы не вводить его каждый раз?) и прочие интересные данные с компьютера владельца или устанавливает key logger (слежку за вводимыми с клавиатуры символами), которые передают все собранное на почту злоумышленника
- закачка или все тот же прием через Skype "чита" или какой-то иной программы (например, для накрутки Gold), которые требуют ввода пароля от аккаунта и отправляют его при первой же возможности на почту злоумышленника
- получение пароля злоумышленником через привязанную к аккаунту почту (т.е. в случае, когда пользователь сначала потерял одним из способов выше пароль от своей почты)
- непосредственная выдача пароля злоумышленнику (как бы глупо это не звучало, но большинство проблем с аккаунтами связано именно с добровольной отдачей пароля под честное слово и обещание делать только то, что разрешил владелец)
- прием по Skype приложения от друга/знакомого/кого угодно еще, которое якобы делает какую-то там крутую штуку, а в реальности собирает пароли, куки (вы же сохраняете пароль в браузере, чтобы не вводить его каждый раз?) и прочие интересные данные с компьютера владельца или устанавливает key logger (слежку за вводимыми с клавиатуры символами), которые передают все собранное на почту злоумышленника
- закачка или все тот же прием через Skype "чита" или какой-то иной программы (например, для накрутки Gold), которые требуют ввода пароля от аккаунта и отправляют его при первой же возможности на почту злоумышленника
- получение пароля злоумышленником через привязанную к аккаунту почту (т.е. в случае, когда пользователь сначала потерял одним из способов выше пароль от своей почты)
Взлом
Взлом аккаунта - это получение от него логина и пароля путем обхода существующей системы защита аккаунта. Тут привести какие-то распространенные случаи невозможно, т.к. при их обнаружении они как можно быстрее устраняются и закрываются. Поэтому для понимания приведем несколько распространенных примеров, при которых становится такое возможно (на ресурсах mcgl это не работает):
- пароль от аккаунта хранится в реестре или файле настроек в открытом виде (т.е. злоумышленнику достаточно подойти к компьютеру, открыть этот файл или ветку реестра и просто прочесть и запомнить пароль)
- форум или сайт проекта позволяет вставить SQL инъекцию, с помощью которой возможно получить hash пароля и в дальнейшем узнать его методом простого перебора
- пароль от аккаунта хранится в реестре или файле настроек в открытом виде (т.е. злоумышленнику достаточно подойти к компьютеру, открыть этот файл или ветку реестра и просто прочесть и запомнить пароль)
- форум или сайт проекта позволяет вставить SQL инъекцию, с помощью которой возможно получить hash пароля и в дальнейшем узнать его методом простого перебора
Как избежать кражи аккаунта?
Рекомендации можно дать исходя напрямую из способов краж:
- никому и никогда не давать свои пароли или пользоваться гостевым доступом в случае крайней необходимости. Чаще всего игроки почему-то думают, что если человек находится у них на странице ВКонтакте в группе "Друзьяшки" или добавлен в Skype, то он никогда и ничего плохого не сделает. Увы, но это не так.
- всегда проверять расширение тех файлов, которые вам посылают по Skype. Если это EXE, то не принимать такой файл или сразу же удалять его с диска. Запомните: магическое заклинание вашего друга/товарища/знакомого "это точно не вирус" и тем более "отключи антивирус, она с ним чото плохо работает" еще ни одного пользователя ПК от заражения не спасло.
- если вы потеряли акк после запуска программы накрутки Gold (или любого другого чита), то медицина тут бессильна. После потери аккаунта вам останется лишь догонять до смысла фразы "бесплатный сыр бывает только в мышеловке".
- регистрировать аккаунт только на заведомо надежную почту, а не ту, где в качестве пароля стоит ваша дата рождения, а секретный вопрос для его восстановления звучит как "номер моего мобильного телефона"
Кроме того ресурс MCGL позволяет дополнительно защитить свой аккаунт с помощью технических средств, которые не позволят зайти злоумышленнику, даже если вы не придерживались предыдущих рекомендаций и позволили увести свой пароль:
- включить привязку по IP - запретит заходить на аккаунт (как в игру, так и на форум) всем тем, у кого IP адрес не указан в списке разрешенных
- включить привязку к железу - не позволит заходить на аккаунт (только в игре) всем тем, чей компьютер не авторизован
Если с защитой по IP еще могут возникнуть какие-то сложности, то с защитой по железу их просто не может быть и авторизовать все свои компьютеры (обычно 1-3) не составляет никаких проблем.
- никому и никогда не давать свои пароли или пользоваться гостевым доступом в случае крайней необходимости. Чаще всего игроки почему-то думают, что если человек находится у них на странице ВКонтакте в группе "Друзьяшки" или добавлен в Skype, то он никогда и ничего плохого не сделает. Увы, но это не так.
- всегда проверять расширение тех файлов, которые вам посылают по Skype. Если это EXE, то не принимать такой файл или сразу же удалять его с диска. Запомните: магическое заклинание вашего друга/товарища/знакомого "это точно не вирус" и тем более "отключи антивирус, она с ним чото плохо работает" еще ни одного пользователя ПК от заражения не спасло.
- если вы потеряли акк после запуска программы накрутки Gold (или любого другого чита), то медицина тут бессильна. После потери аккаунта вам останется лишь догонять до смысла фразы "бесплатный сыр бывает только в мышеловке".
- регистрировать аккаунт только на заведомо надежную почту, а не ту, где в качестве пароля стоит ваша дата рождения, а секретный вопрос для его восстановления звучит как "номер моего мобильного телефона"
Кроме того ресурс MCGL позволяет дополнительно защитить свой аккаунт с помощью технических средств, которые не позволят зайти злоумышленнику, даже если вы не придерживались предыдущих рекомендаций и позволили увести свой пароль:
- включить привязку по IP - запретит заходить на аккаунт (как в игру, так и на форум) всем тем, у кого IP адрес не указан в списке разрешенных
- включить привязку к железу - не позволит заходить на аккаунт (только в игре) всем тем, чей компьютер не авторизован
Если с защитой по IP еще могут возникнуть какие-то сложности, то с защитой по железу их просто не может быть и авторизовать все свои компьютеры (обычно 1-3) не составляет никаких проблем.
Итоги
Исходя из всего выше изложенного должно быть очевидно, что ответственность за безопасность аккаунта находится целиком и полностью в ваших руках и если вы допустили его кражу, то винить в этом нужно только себя и свою лень, которая не позволила вовремя уделить несколько минут для решения этого вопроса.
К сожалению, более чем в половине подобных ситуаций владелец задумывается о защите уже после кражи, а не до нее в надежде на то, что администрация в случае чего решит эту проблему и все ему восстановит. Однако это ошибочное мнение. Сам аккаунт-то безусловно будет возращен, если владелец имеет все необходимые права на владение им, однако ресурсы и все прочие ценности, которые вы теряете, как правило возврату не подлежат ввиду того, что их место положение отследить почти не возможно. Шанс вернуть свое имущество примерно 1 на 50 случаев и рассчитывать на него не стоит.
Проще потратить 10 минут на настройку защиты аккаунта, чем потом месяц на его восстановление.
К сожалению, более чем в половине подобных ситуаций владелец задумывается о защите уже после кражи, а не до нее в надежде на то, что администрация в случае чего решит эту проблему и все ему восстановит. Однако это ошибочное мнение. Сам аккаунт-то безусловно будет возращен, если владелец имеет все необходимые права на владение им, однако ресурсы и все прочие ценности, которые вы теряете, как правило возврату не подлежат ввиду того, что их место положение отследить почти не возможно. Шанс вернуть свое имущество примерно 1 на 50 случаев и рассчитывать на него не стоит.
Проще потратить 10 минут на настройку защиты аккаунта, чем потом месяц на его восстановление.
BB-code статьи для вставки