Как понять, что сайт не безопасен для ваших данных, и защитить себя

Когда стоит насторожиться

У знакомой страницы непривычный или странный дизайн

Изображение: Studio Romantic / Shutterstock / Лайфхакер

Интернет полнится сайтами-двойниками известных социальных сетей, маркетплейсов и банков. Все они преследуют одну цель: получить пароли и данные банковских карт пользователей, которые не замечают подмены. Указывать на фишинг-сайт может кустарность визуала, например непривычные для бренда цвета, куча анимации и всплывающей кликбейтной рекламы в духе «Астролог рассказал, что ждёт Овнов в 2024 году…». А ещё преступники могут скопировать версию сайта, бывшую актуальной несколько лет назад. Стоит обратить внимание и на неформатированный текст, странные шрифты, опечатки и грамматические ошибки. На аутентичных сайтах больших компаний обычно такого не бывает.

Не ясно, как сайт использует персональные данные

Длинные соглашения о конфиденциальности практически никто не читает. А зря: это важный шаг. Особенно на ресурсах, требующих регистрации с использованием персональных данных. Это ФИО, адрес, номера телефонов, а иногда и полные паспортные данные. Такие сайты должны рассказывать, каким именно образом они будут использовать вашу информацию. Также в Политике конфиденциальности обычно указывают, кто и в каком объёме имеет к вашим данным доступ. Если не изучить документ, есть риск своими руками дать согласие передавать данные третьим лицам.

Также следует позаботиться о своём цифровом следе: убедитесь, что веб-страница не будет запоминать ваши IP-адреса или файлы cookie. Они тоже относятся к персональным данным, так как по ним легко идентифицировать пользователя. Для их хранения требуется согласие самого человека. Именно поэтому большинство сайтов, на которых вы оказываетесь впервые, спрашивают у вас разрешение на использование cookie. Если вы не дадите согласие, сайт всё равно будет работать. Это относится к любому ресурсу: от платформы для покупки билетов до открытия онлайн-счёта в банке.

Финансовым организациям приходится особенно внимательно относиться к защите персональных данных. Обычно они продумывают системы защиты максимально тщательно. Например, ВТБ, чтобы минимизировать риски, сделал сервис ВТБ ID. Он даёт право заходить на сайты партнёров с учётными данными, используемыми в банке. Чтобы присоединиться к сервису, все сайты-партнёры сначала проходят аутентификацию в ВТБ ID. Затем клиент даёт согласие на использование своих данных — и только тогда вход становится возможным. Отозвать разрешение можно в любой момент в ВТБ Онлайн. Банк не передаёт партнёру логины, пароли и финансовую информацию клиента.

Сайт не использует протокол HTTPS

Уникальный адрес в интернете, или URL, — это тоже индикатор, который поможет вычислить небезопасный сайт. Надёжные ресурсы используют протокол https вместо http. Буква S означает наличие сертификата безопасности. Он гарантирует, что данные, пересылаемые из компьютера на хостинг, зашифрованы и перехватить их не так просто.

Понять, как работает шифровка, можно на простом примере. Обмен данными в интернете идёт через сервисные центры провайдеров. Информацию, отправленную через сайт с незащищённым протоколом http, можно сравнить с незапечатанной открыткой на почте. С её содержимым может ознакомиться любой. Сообщение, пересылаемое по правилам https, — это посылка с замком, причём двойным. Код устанавливают провайдеры и отправителя, и получателя. Поэтому третьим лицам становятся недоступны данные, например, банковской карты, с которой вы покупаете товар в надёжном интернет-магазине.

Страница не нравится браузеру

Современные браузеры, независимо от операционной системы компьютера или смартфона, выполняют базовую проверку безопасности сайтов. О результатах такой проверки можно узнать в адресной строке. Как правило, они выделяют три степени надёжности ресурса: подключение защищено, не защищено, опасно. Игнорировать эти сигналы не стоит.

В первую категорию попадают все сайты, работающие по протоколу https, во вторую — без него. Это не значит, что администраторы сайта с незащищённым подключением непременно мошенники, которые украдут данные. Подключение протокола шифрования на свой ресурс — это право владельца сайта, а не его обязанность. Открывать и читать такую страницу можно, но оставлять персональные данные рискованно. К «опасным» браузеры относят сайты с подмоченной репутацией — за которыми замечены факты кражи или слива данных. Такие лучше сразу же закрывать.

У сайта не отображается сертификат безопасности

Сертификат безопасности (SSL) — это как раз то, что скрывается за буквой S в аббревиатуре https. Браузеры проверяют его наличие самостоятельно, но иногда не помешает изучить его дополнительно. Например, если вы впервые регистрируетесь в новом онлайн-магазине. Кроме того, мошенники могут добавлять https просто к названию сайта, в надежде что посетители не будут разглядывать адресную строку. Данные сертификата безопасности можно увидеть, щёлкнув на замок слева от URL в адресной строке браузера. Он бывает трёх типов и может обозначаться различными аббревиатурами.

Domain Validation (DV). Самый простой сертификат, подтверждающий домен. Доступен всем моментально после создания сайта.
Organization Validation (OV). Подтверждает, что конкретный домен принадлежит определённой организации. К примеру, что сайт условной страховой компании действительно создан ею. Для его получения необходима дополнительная проверка специальным центром сертификации.
Extendet Validation (EV). Это документ наивысшего доверия. Выдавая его, центр сертификации максимально тщательно исследует организацию. Такой тип обычно используют сайты, которые хранят много важной информации: банки, интернет-магазины, социальные сети.

Также существует печать доверия. Она прилагается к SSL-сертификату или покупается отдельно. Представляет собой картинку-логотип проверяющего центра, обычно его можно увидеть в подвале сайта или на страничках оплаты.

Как минимизировать риски

Проверяйте сайты на сторонних ресурсах

Существуют так называемые сканеры безопасности — специальные сервисы, которые анализируют страничку на предмет уязвимостей. Если браузер не уведомил вас о подозрительности сайта, но у вас всё равно есть сомнения, то они могут сделать всю работу по первичной проверке ресурса за вас. Как правило, они действуют просто: вы вводите URL в специальное поле, нажимаете «Проверить» и получаете вердикт.

Используйте разные пароли и системы аутентификации

О необходимости придумывать сложные пароли наверняка знают многие. Но даже надёжные комбинации не стоит использовать для разных сайтов и сервисов. Слабость такой защиты очевидна: как только злоумышленники узнают код защиты одного ресурса, они получат доступ ко всем страничкам человека — вплоть до наиболее чувствительных, вроде банковских приложений и «Госуслуг». Чтобы не записывать в заметки шифры от десятков сайтов, используйте менеджеры паролей. Тогда вам придётся знать только один ключ безопасности.

Самые безопасные сервисы — те, в которых защита данных для входа усилена при помощи биометрии. Такие, например, использует банк ВТБ. Ключ ВТБ ID есть у всех клиентов банка. С его помощью можно заходить на более чем 130 сайтов партнёров банка. Для авторизации используется изображение лица и отпечатки пальцев или одноразовый код из СМС.

Регулярно обновляйте антивирусное ПО

Изображение: Andrii Iemelianenko / Shutterstock / Лайфхакер

Кроме своей базовой задачи — защиты от вирусов — такой софт часто умеет предупреждать о подозрительных ссылках и сайтах. Некоторые антивирусы блокируют вход в наиболее опасные ресурсы, поэтому вы не сможете открыть их, даже если очень захотите. Своевременное обновление гарантирует, что программа сможет распознавать всё более современные методы обмана.

Банк ВТБ (ПАО). Генеральная лицензия № 1000 на осуществление банковских операций, выдана Центральным банком Российской Федерации 8 июля 2015 года.