Правила кибергигиены

В конце февраля произошла утечка персональных данных пользователей «Яндекс.Еды», а меньше чем через месяц эти данные попали в открытый доступ. Вместе с экспертом по кибербезопасности Дмитрием Галовым из «Лаборатории Касперского»  разобрались, что может угрожать людям, чьи данные оказались в базах мошенников, и как пользователь сам может усложнить злоумышленникам доступ к личной информации, паролям и деньгам


Разные по масштабу утечки личных данных начались не в этом году, а гораздо раньше. Причин много, и некоторые из них связаны с событиями пандемии. Во время массового перехода компаний на удаленный режим работы многим удалось быстро решить инфраструктурные вопросы — наладить каналы коммуникации, перестроить бизнес-процессы, дать людям удаленный доступ к ресурсам, но приучить их к новым стандартам кибербезопасности оказалось не так просто.

Дмитрий Галов: «Ключевой вопрос безопасности — это образование и информирование людей. Например, таргетированные фишинговые письма остаются одним из самых популярных методов получения доступа к личным и корпоративным данным. В целом, за первый квартал 2022 года количество киберинцидентов в российских компаниях увеличилось в четыре раза по статистике «Лаборатории Касперского». Это еще один повод именно сейчас поговорить о том, как правильно использовать пароли, как отличить фишинговое письмо от безопасного и почему не надо скачивать стороннее программное обеспечение».

«Да кому я нужен?» — самый распространенный миф

Возможно, данные конкретного пользователя действительно не представляют интереса для персонального преследования: тяжело шантажировать человека рассылкой личных фото, если его галерея состоит из фотографий счетчиков воды и селфи с любимым котом. Злоумышленников интересуют большие массивы данных о большом количестве людей — такие базы используют прежде всего телефонные и онлайн-мошенники. Например, зная номер телефона, фамилию, имя и отчество человека, а также марку и модель его машины, можно во время звонка представиться страховым агентом или сотрудником правоохранительных органов и быть достаточно убедительным, чтобы заключить поддельный договор страхования или заставить человека оплатить несуществующий штраф.

Дмитрий Галов: «Сейчас мы можем говорить о целом рынке персональных данных. Например, медицинские записи из частных клиник — это кладезь информации о вас. Зная паспортные данные, ваш анамнез и адрес проживания и имея под рукой экстренные контакты, указанные в карте, мошенники теоретически могут представиться медицинским работником и сообщить близким, что вам требуется срочная платная помощь».

Более сложный вариант мошенничества — подтверждение личности пользователя с помощью скана паспорта и селфи с паспортом при регистрации нового аккаунта. Например, так можно стать обладателем фейкового профиля на криптобирже или в сервисе каршеринга. В итоге пользователь может невольно оказаться задействованным в схеме вывода чужих денег со счетов или «виновным» в правонарушениях злоумышленника на дорогах. Похожих способов монетизации — десятки, индустрия сбора и использования личной информации огромна.

Ответственность за свои данные несут сами пользователи

Пользователь не может повлиять на то, каким образом хранит и защищает данные компания, которой он их доверил. Выбирая сервис и подписывая лицензионное соглашение, можно только надеяться на то, что сервис гарантирует безопасность личной информации клиента. Но это не повод упрощать жизнь злоумышленникам, выкладывая скан паспорта в общедоступные облачные хранилища, публикуя в соцсетях номер телефона, адрес почты или геолокацию. Делясь информацией в сети, нужно быть готовым к тому, что данные, которые появились в интернете, когда-нибудь могут быть найдены и использованы злоумышленниками для мошенничества или шантажа.

Еще на блоге:   Все прыгнут — и я прыгну: массовый психоз и как ему противостоять

Базовые правила кибергигиены

Сложные уникальные пароли

Хотя специалисты не устают напоминать о том, что на разных аккаунтах должны быть разные логины и пароли, пользователям все равно удобно пользоваться одной парой логин-пароль для всего. К сожалению, если эта связка «утечет» даже из безобидного и «неважного» личного кабинета, злоумышленники могут попытаться применить ее на других — возможно, более важных — сайтах.

Самый надежный способ хранения паролей выглядит так: у вас есть сейф, в нем лежит тетрадь. В тетради записаны сложные уникальные пароли от каждого сервиса. Раз в месяц вы придумываете новые пароли от всех сервисов и от руки переписываете их в тетрадь. Этот метод дает почти стопроцентную гарантию безопасности.

Реалистичный вариант — менеджер паролей, программа, которая позволяет хранить пароли в зашифрованном виде. Менеджер может безопасно хранить существующие пароли пользователя или генерировать надежные новые пароли, если пользователь не хочет придумывать их самостоятельно. Для доступа к ним необходим мастер-пароль: комбинация, которую необходимо ввести, чтобы подтвердить свою личность и разрешить программе «подставить» нужный пароль из базы в поле ввода пароля. Многие разработчики такого программного обеспечения предоставляют возможность безопасно синхронизировать базы паролей между различными устройствами, что делает их использование еще более удобным для пользователей.

Для важных операций (например, для оплаты большой суммы или доступа к конфиденциальным данным) лучше использовать двухфакторную аутентификацию, даже если одним из факторов является традиционный пароль или Face ID. Обычно для этого используют пароль и подтверждение операции с помощью одноразового кода, который приходит на телефон пользователя.

Мастер-пароль

Безопасным специалисты считают пароль длиной 12–16 символов, состоящий из маленьких и больших латинских букв, специальных символов и цифр. Один из способов придумать пароль такой: взять несколько строк из любимой песни, выкинуть из них все знаки препинания и гласные буквы, а в конце фразы добавить случайное число и случайный символ. Также можно использовать генератор паролей, выдающий случайную последовательность символов, которую придется выучить наизусть (но все-таки запомнить придется только один мастер-пароль). С этой задачей отлично справляется как раз менеджер паролей. Отдельно стоит упомянуть, что не следует использовать бесплатные онлайн-генераторы паролей — из них пароли могут напрямую отправляться к злоумышленникам.

Face ID и вход по отпечатку пальца

Аналогом мастер-пароля на мобильных устройствах и некоторых моделях ноутбуков является идентификация по отпечатку пальца или по лицу. Например, по такому принципу работает «Связка ключей» на операционных системах Apple. Каждый раз система предлагает вам подставить в браузере лэптопа или айфона пароль из встроенного менеджера паролей и подтвердить вход с помощью Touch ID или Face ID.

Еще на блоге:   Всегда на страже: что такое гейткипинг

Обновление операционных систем и прикладных продуктов

Специалисты сходятся в едином мнении: обновления ставить нужно, чтобы получать последние патчи, связанные с устранением уязвимостей. Мошенники постоянно пытаются обойти системы безопасности, а разработчики стараются им в этом помешать. В нынешней ситуации, возможно, стоит отложить установку на пару дней: отключить автоматические обновления и проверять наличие обновлений в ручном режиме. Если есть опасения, что какой-то провайдер решит с помощью обновления отключить сервис, скорее всего, об этом станет известно из новостей достаточно быстро.

Отдельный браузер для онлайн-банкинга

Чтобы обезопасить платежные данные, можно пользоваться специальными браузерами или расширениями, которые устанавливаются в привычный пользователю браузер. Работают они следующим образом: если пользователь попытается открыть сайт банка или совершить платеж, у него появится предложение активировать защищенный режим. В таком режиме запрещены многие действия сайтов и сторонних программ — например, из него программа-шпион не сможет сделать снимок экрана, а доступ программ к буферу обмена заблокирован. Пользоваться только таким безопасным браузером в современном мире невозможно: функционал многих сайтов просто не будет в нем работать. Многие расширения и защитные решения сами «узнают» нужные страницы: например, пользователь может выбирать товары в онлайн-магазине в обычном режиме браузера, и только на этапе оплаты откроется безопасное окно из расширения.

VPN — не панацея

VPN не является синонимом безопасного интернета: он не может защитить пользователя от кейлоггеров — вредоносных программ, которые перехватывают нажатия клавиш, или от фишинга, при котором пользователь сам отдает данные злоумышленникам. Предпочтение лучше отдавать коммерческим сервисам от известных разработчиков: с ними личные данные пользователя с большей вероятностью будут в безопасности. Бесплатные сервисы VPN вряд ли будут сливать данные напрямую злоумышленникам, но могут собирать историю действий в интернете и делиться ею с третьими лицами, которые сумеют эту информацию монетизировать. Крупные игроки, как правило, не предоставляют бесплатных решений или ограничивают объем трафика в бесплатных версиях, но за небольшую плату снимают ограничения по объему данных и гарантируют сохранность персональных данных, отвечая за это профессиональной репутацией и расширенной зоной ответственности. В любом случае, при выборе провайдера следует внимательно читать, на каких условиях предоставляется сервис.

Скептическое отношение к тому, что вам предлагают

Любые слишком щедрые и заманчивые предложения вроде беспроигрышных лотерей и других неожиданных бонусов должны настораживать пользователя. Мошенники всегда будут паразитировать на актуальной и острой теме, например, сейчас злоумышленники часто предлагают социальные выплаты, помощь в оплате иностранных сервисов или выгодные валютные операции.

Автор: Александра Казачкова

Источник

Читайте нас в удобном формате
Telegram | Facebook | Instagram | Tags

Добавить комментарий