Advertentie

Naar aanleiding van het nieuws van een enorme inbreuk op de servers van Google die resulteerde in een hack van 5 miljoen e-mailadressen, suggereerden verschillende websites dat lezers controleer of ze het slachtoffer waren door hun e-mailadres in te voeren in "controletools" - websites die kunnen bepalen of een e-mailadres voorkomt in een lijst met gehackte Inloggegevens.

Het probleem is dat sommige van deze controletools niet zo legitiem waren als de websites die ernaar linken misschien hadden gehoopt ...

5 miljoen e-mailadressen: de waarheid

Destijds gerapporteerd als een enorm lek van 5 miljoen gebruikersnamen en wachtwoorden voor Gmail-accounts, bleek al snel dat het verhaal, nou ja, precies dat was: een verhaal.

Iets later uitleggend, Google onthulde dat minder dan 2% van de combinaties van gebruikersnaam en wachtwoord juist waren, en dat hun eigen tools voor loginbeveiliging de meerderheid daarvan zouden hebben gevangen.

muo-email-checker-scam-dollar

Ze hebben ook verduidelijkt dat de inloggegevens niet zijn gehackt vanaf hun eigen servers, maar vanaf andere websites:

Het is belangrijk op te merken dat in dit geval en in andere gevallen de gelekte gebruikersnamen en wachtwoorden niet het gevolg waren van een inbreuk op Google-systemen. Vaak worden deze referenties verkregen door een combinatie van andere bronnen.

Als u bijvoorbeeld dezelfde gebruikersnaam en hetzelfde wachtwoord op verschillende websites gebruikt en een van die websites wordt gehackt, kunnen uw inloggegevens worden gebruikt om in te loggen bij de andere.

Dus een Gmail-account dat werd opgepikt bij een eerdere inbreuk - al dan niet spraakmakend - had een van die kunnen zijn in de datadump van inloggegevens in handen van de "hackers". In wezen, informatie die mogelijk al online was in een of andere vorm, Gmail-accounts werden uit verschillende bronnen gecribed.

Maar hoe ging dit verhaal zo snel mainstream? Waarschijnlijk met de hulp van een groot rond getal van 5 miljoen, en het slimme touwtrekken van de hackers die de accountwachtwoorden op een Russisch Bitcoin-forum hebben gepost. Voeg een online controletool toe die bevestigt of uw eigen e-mailaccount in de vuilnisbak zit en u heeft een groot nieuwsverhaal.

Dat lijkt natuurlijk waarschijnlijk isleaked.com is niet de website die mensen dachten dat het was.

Hoe een nep-gehackte e-mailaccountchecker werkt

Een e-mailadres vergelijken met een database (dit kan SQL, Access of zelfs een tekstbestand zijn Dus wat is een database eigenlijk? [MakeUseOf Explains]Voor een programmeur of een technologieliefhebber is het concept van een database iets dat vanzelfsprekend is. Voor veel mensen is het concept van een database echter een beetje vreemd ... Lees verder ) van gehackte e-mailaccounts is relatief eenvoudig. In combinatie met een eenvoudig te downloaden script kan zo'n website in ongeveer 30 minuten worden opgezet.

Troy Hunt heeft een veel betere aanpak, daarom zou u zijn site moeten gebruiken om te controleren op het lekken van uw inloggegevens wanneer u een accounthack leest of hoort.

muo-email-checker-pwned

Zoals uitgelegd op zijn blog, Heeft Hunt gebouwd Ben ik gepand?, een legitieme website (Hunt is een Microsoft MVP voor Developer Security) ontworpen voor gemiddelde gebruikers om hun e-mailadres in te typen en te achterhalen of ze al dan niet zijn gehackt. Gegevens gebruiken die zijn ingediend op sites zoals Pastebin.com, het vertelt je zelfs welke inbreuk verantwoordelijk is voor de aanwezigheid van je e-mailaccount in de database.

Op zoek naar een legitieme gehackte e-mailaccountcontrole?

Wanneer de resultaten worden weergegeven, toont de site de naam van de website waaruit uw accountgegevens zijn gelekt. Hopelijk zou die site u privé hebben gemaild of een aankondiging hebben gedaan.

(Als u zich zorgen maakt dat uw e-mailaccount is gehackt, moet u natuurlijk uw wachtwoord toch wijzigen. Onthoud om maak het veilig en onvergetelijk 6 tips voor het maken van een onbreekbaar wachtwoord dat u kunt onthoudenAls uw wachtwoorden niet uniek en onbreekbaar zijn, kunt u net zo goed de voordeur openen en de overvallers uitnodigen voor de lunch. Lees verder .)

muo-email-checker-scam-ohnoes

Zoals je kunt zien aan de afbeelding hierboven, was mijn e-mailaccount een van de vele die werden opgehaald in de enorme Adobe-inbreuk van 2013. U moet de informatie van Hunt's site gebruiken om onmiddellijk te handelen, maar houd er rekening mee dat zelfs als uw wachtwoord is gewijzigd, uw e-mailadres op de site blijft staan.

Als het praktisch is, kan het ook de moeite waard zijn om het e-mailadres dat u gebruikt met uw online accounts te wijzigen.

Due Diligence mag geen ding uit het verleden zijn

Een essentieel onderdeel van de journalistiek is due diligence; het controleren van feiten. Alleen persberichten uitwissen is niet voldoende. Elke schrijver, of hij nu inhoud aanlevert voor $ 1 per 1000 woorden of betaald krijgt aan een topnaam bij het publiceren, kan dat doen.

Helaas gebeurt het op het World Wide Web niet genoeg.

Een paar minuten feitelijke controle zou hebben uitgewezen dat de claim van vijf miljoen adressen een verzinsel was. Zoals we destijds meldden, de adressen waren afkomstig uit een verzameling van eerdere lekken Gmail-wachtwoorden lekken online, Microsoft laat Windows Phone vallen en meer... [Tech News Digest]Ook negatieve recensies, Deezer in de Verenigde Staten, Google Pyramids, de NES 3DS en een verhelderende Rube Goldberg-machine. Lees verder . De Russische hackers konden een lijst verzamelen in plaats van de beveiliging van Google te schenden.

muo-email-checker-scam-is gelekt

Van bijzonder vermoeden was ondertussen de site die door veel websites werd aanbevolen om e-mails te controleren, isleaked.com. Vreemd genoeg, slechts twee dagen voor het lek geregistreerd, was het plotselinge bestaan ​​ervan in Rusland ofwel enorm toevallig, ofwel gepland.

Zoals ik altijd zeg, zijn er geen toevalligheden in online beveiliging.

Wat is tenslotte een betere manier om de lijst met adressen die u beweert te hebben gehackt te bevestigen dan om de accounteigenaren te laten verifiëren of ze deze nog steeds gebruiken of niet? Het is de modus operandi van spammers - dode adressen zijn waardeloos, daarom vragen veel spam-e-mails u om te reageren. Uw reactie wordt geregistreerd en het adres blijft behouden.

De lek-e-mailchecker isleaked.com zou gemakkelijk een meer verfijnde aanpak kunnen zijn. Terwijl ze beweren:

We verzamelen geen e-mails, URL's / IP-adressen, toegangslogboeken en controleren de resultaten niet. Ofwel doen we tijdens de test niets schadelijks met uw apparaat!

… Er is weinig reden om de site te vertrouwen. Troy Hunt, die een reputatie hooghoudt, legt uit hoe zijn site werkt, dus het is logisch om deze te gebruiken.

Het oordeel: reageer niet zonder de feiten

Wat we hieruit kunnen leren, is dat niemand mag reageren op claims van datalekken en hacks zonder over de volledige feiten te beschikken. Er zijn simpelweg te veel variabelen om rekening mee te houden.

Met de Gmail-hackclaims lijkt het een veilige veronderstelling dat de vermeende hackers eenvoudig hun verzameling adressen aan het verifiëren waren, vermoedelijk gebruikt in verschillende spamcampagnes.

Sommige waren echt, andere waren al lang afgelopen.

De beste website om te controleren of uw e-mail is gehackt en zijn weg heeft gevonden naar een site als Pastebin.com is haveibeenpwned.com.

Ironisch genoeg was het voor de 5 miljoen Gmail-adressen die zogenaamd gehackt waren van Google, de technologiepers die echt werd geponst.

Rob Hyrons via Shutterstock

Christian Cawley is adjunct-redacteur voor beveiliging, Linux, doe-het-zelf, programmeren en technische uitleg. Hij produceert ook The Really Useful Podcast en heeft uitgebreide ervaring met desktop- en softwareondersteuning. Christian is een medewerker van het Linux Format-tijdschrift en is een Raspberry Pi-knutselaar, Lego-liefhebber en retro-gamingfan.