Amenințări
Schimb parola și tot îmi intră în cont: de ce se întâmplă și cum oprești definitiv atacatorul
Ai schimbat parola, dar atacatorul tot intră. Nu e magie: sunt sesiuni rămase deschise, un program care fură date pe dispozitiv sau accese ascunse. Iată de ce și ce faci, în ordinea corectă.
Ai schimbat parola. Poate de două ori. Și totuși, a doua zi, contul e iar al altcuiva: emailuri citite, mesaje trimise în numele tău, setări modificate. Începi să crezi că ești urmărit special sau că parola ta e „prea slabă", oricât de complicată ai face-o.
Nu e magie și nu e ghinion. Parola este doar una dintre ușile către cont, iar atacatorul folosește alte uși pe care schimbarea parolei nu le închide. Vei vedea care sunt cele șase căi de acces care rămân deschise și, mai important, ordinea exactă în care trebuie să le închizi. Pentru că, dacă începi cu pasul greșit, toată munca ta e anulată în câteva secunde.
Parola schimbată nu înseamnă cont curat
Schimbarea parolei rezolvă un singur lucru: blochează logarea cu vechea parolă. Atât. Nu închide automat sesiunile deja deschise, nu șterge accesele aplicațiilor și nu curăță un dispozitiv infectat. Dacă tot îți intră cineva după ce ai schimbat parola, înseamnă că există o cale de acces rămasă pe care nu ai închis-o încă. Cel mai des, una dintre acestea șase.
Cauza 1: sesiunile vechi rămân deschise
Când te loghezi, serviciul îți dă un fel de brățară de acces, numită cookie sau token de sesiune. Atât timp cât o ai, nu mai introduci parola la fiecare pagină. Problema e că, pe multe servicii, schimbarea parolei NU invalidează automat sesiunile deja deschise. Cine are deja o sesiune activă, inclusiv un atacator, rămâne logat până când sesiunea expiră singură sau până când o revoci manual.
Soluția e opțiunea de deconectare a tuturor sesiunilor: la Google se numește „deconectează dispozitivele", la Microsoft „Sign out everywhere", la Instagram „deconectează-te din toate sesiunile". Atenție la o capcană: la unele servicii, deconectarea de pe toate dispozitivele se aplică abia după ce schimbi și parola, așa că le faci împreună, într-o fereastră scurtă de timp.
Cauza 2: un infostealer rulează pe dispozitivul tău
Un infostealer este un program rău intenționat care fură date de pe calculator sau telefon: parolele salvate în browser, datele de card și, foarte important, cookie-urile de sesiune. Cu cookie-ul de sesiune furat, atacatorul nu mai are nevoie de parola ta și de multe ori nici de codul din pasul al doilea: importă cookie-ul în browserul lui, iar serviciul îl tratează ca pe tine, ca pe o sesiune deja autentificată.
De aceea, cât timp dispozitivul rămâne infectat, orice parolă nouă e furată imediat ce o tastezi. Intri într-un cerc vicios: schimbi parola, programul o trimite atacatorului, atacatorul revine. Infostealere reale, cunoscute în ultimii ani, sunt RedLine, Lumma, Vidar, StealC sau Raccoon. Unele au fost lovite de acțiuni internaționale, dar apar mereu altele noi, deci ideea rămâne valabilă indiferent de nume.
Nu schimba parola de pe dispozitivul infectat
Cauzele 3-5: accesele ascunse pe care parola nu le atinge
Dincolo de sesiuni și de dispozitivul infectat, atacatorii își lasă mai multe portițe care funcționează independent de parolă. Tocmai pentru că nu țin de parolă, rămân active și după ce o schimbi, dacă nu le cauți și nu le tai manual.
Parole de aplicație și aplicații terțe (OAuth)
Parolele de aplicație și butoanele de tip „Conectează-te cu Google / Microsoft" sunt accese separate de parola principală. La unii furnizori nu se revocă automat când schimbi parola, deci trebuie șterse manual din setările de securitate.
Reguli ascunse de redirecționare a emailului
După ce intră în email, atacatorii creează reguli care îți redirecționează spre ei mesajele cu „factură" sau „parolă" și șterg alertele de securitate. Rămân active după schimbarea parolei și le trimit copii ale codurilor de resetare pentru alte conturi.
Datele de recuperare schimbate
Dacă atacatorul a schimbat emailul sau numărul de recuperare, își poate reseta parola oricând, ocolind ce ai făcut tu. Verifică și corectează toate datele de recuperare.
Dispozitive de încredere rămase
Un dispozitiv marcat „de încredere" de atacator poate ocoli pasul al doilea de verificare. Revocă încrederea pentru tot ce nu recunoști.
Un semn util: dacă o regulă de redirecționare sau un acces revine la loc imediat după ce îl ștergi, înseamnă că o aplicație terță sau o sesiune încă activă îl recreează. Atunci tai accesul de la sursă, nu doar regula.
Cauza 6: ai refolosit aceeași parolă pe alt cont
Dacă foloseai aceeași parolă și pe alte servicii, atacatorul nu mai are nevoie să spargă nimic: încearcă automat aceeași combinație de email și parolă pe sute de site-uri. Tehnica se numește credential stuffing și funcționează tocmai pentru că foarte mulți oameni refolosesc parolele. Așa se explică de ce, după ce îți pică un cont, încep să cadă și altele: nu sunt sparte separat, ci deschise cu aceeași parolă. Schimbă parola pe orice cont unde o refoloseai și citește, pentru context, ghidul despre credential stuffing și cum îți aperi conturile.
Ordinea corectă de curățare a contului
Toate cauzele de mai sus au soluție, dar contează enorm succesiunea. Parcurge pașii exact în această ordine: dacă schimbi parola înainte să cureți dispozitivul sau înainte să revoci sesiunile, o iei de la capăt.
Curăță și scanează dispozitivul
Rulează o soluție de securitate la zi și, dacă ai dubii serioase, ia în calcul reinstalarea sistemului. Fără acest pas, restul e degeaba.
De pe un dispozitiv curat, schimbă parola
O parolă nouă, lungă și unică, nu o variație a celei vechi.
Revocă toate sesiunile active
„Deconectează-te din toate sesiunile" / „Sign out everywhere", ca să scoți afară orice sesiune a atacatorului.
Taie accesele aplicațiilor
Revocă parolele de aplicație și aplicațiile terțe (OAuth) pe care nu le recunoști, din setările de securitate.
Verifică reguli, recuperare și dispozitive
Șterge regulile de inbox și redirecționările străine, corectează datele de recuperare și revocă dispozitivele de încredere necunoscute.
Activează 2FA
De preferat cu o aplicație de autentificare sau passkey, nu prin SMS.
Schimbă parola pe celelalte conturi
Oriunde foloseai aceeași parolă sau una asemănătoare.
Cum previi să ți se întâmple din nou
Folosește parole unice pentru fiecare cont, generate și păstrate într-un manager de parole, ca să elimini riscul de credential stuffing. Activează autentificarea în doi pași peste tot unde se poate, preferabil cu o aplicație de autentificare sau cu passkey, fiindcă CISA și FBI au recomandat să eviți codurile prin SMS, care pot fi interceptate. Ține sistemul, browserul și soluția de securitate actualizate, fiindcă multe infostealere ajung pe dispozitiv prin instalatoare descărcate din surse nesigure sau prin reclame false. Și verifică periodic, o dată la câteva luni, sesiunile active, aplicațiile conectate și regulile de email.
Când și cum raportezi incidentul
Dacă ești firmă sau ți-au fost afectate date ale clienților, tratează situația ca pe un incident de securitate, nu doar ca pe un cont pierdut. În România poți suna la 1911, numărul național pentru raportarea incidentelor cibernetice, operat de DNSC, apelabil din orice rețea la tarif normal, și poți completa formularul de pe platforma DNSC. Dacă au fost expuse date cu caracter personal, verifică obligația de notificare către ANSPDCP în maximum 72 de ore. Dacă era contul de email al firmei, vezi și pașii de containment din ghidul despre contul de email al firmei spart.
Conturile firmei tale sunt mereu vânate
Întrebări frecvente
Dacă schimb parola, atacatorul este dat afară automat din cont?
Nu neapărat. Schimbarea parolei blochează logarea cu vechea parolă, dar pe multe servicii nu închide automat sesiunile deja deschise. Cine are deja o sesiune activă, inclusiv un atacator, rămâne logat până când revoci manual toate sesiunile. De aceea, după ce schimbi parola, folosește opțiunea de deconectare a tuturor sesiunilor („Sign out everywhere" sau „deconectează-te din toate sesiunile").
De ce îmi sparge contul deși schimb parola în fiecare zi?
Cel mai probabil ai un infostealer pe dispozitiv, adică un program care fură parolele salvate în browser și cookie-urile de sesiune. Cât timp dispozitivul e infectat, orice parolă nouă e furată imediat ce o tastezi, deci schimbările zilnice nu ajută. Întâi cureți și scanezi dispozitivul, apoi schimbi parola de pe un dispozitiv curat și revoci toate sesiunile, parolele de aplicație și accesele aplicațiilor terțe.
Cum scot atacatorul din contul de email dacă tot revine?
Verifică trei lucruri pe lângă parolă. Întâi regulile de inbox și redirecționările: atacatorii lasă reguli ascunse care rămân active după schimbarea parolei. Apoi parolele de aplicație și aplicațiile terțe conectate prin OAuth, care la unii furnizori nu se revocă automat. La final, datele de recuperare și dispozitivele de încredere. Șterge tot ce nu ai pus tu și activează autentificarea în doi pași cu o aplicație de autentificare.
Cookie-ul de sesiune furat permite ocolirea autentificării în doi pași?
Da, în multe cazuri. Cookie-ul de sesiune dovedește serviciului că ești deja autentificat. Dacă un infostealer fură acest cookie, atacatorul îl importă în browserul lui și serviciul îl tratează ca pe tine, fără să mai ceară parola și adesea nici codul din pasul al doilea. Tocmai de aceea, după o infecție, este esențial să cureți dispozitivul și să revoci toate sesiunile, nu doar să schimbi parola.
Citește și
AmenințăriȚi-au spart emailul firmei? Ce faci în primele ore
Un cont de email compromis e diferit de un email fals: atacatorul e chiar înăuntru, citește și răspunde. Vezi cum recunoști asta și ce faci în primele ore ca să oprești o fraudă cu factură.
GhiduriCont Instagram spart, ce fac? Ghid de recuperare
Atacatorul ți-a schimbat emailul și parola, așa că resetarea clasică nu mai merge. Vezi singura portiță care îți rămâne, fluxul oficial de recuperare și de ce nu trebuie să plătești niciun recuperator.
AmenințăriCredential stuffing: ce este și cum îți aperi conturile
Cum transformă atacatorii o listă de parole scurse într-un val de logări automate, și ce oprește atacul înainte să-ți compromită clienții.