Как стать гуру кибербезопасности

Если вы не слишком заботитесь о сетевой безопасности, будьте готовы к тому, что однажды ваши паспортные данные или CCV-код вашей карты окажется в руках мошенников. И лучше предотвратить это, чем устранять последствия.

Антон Карданов

Руководитель сектора ИБ компании AT Consulting.

Масштаб проблемы

Цифровой мир тесно сплелся с нашей повседневной жизнью: мы давно общаемся, учимся, работаем, совершаем покупки в режиме онлайн. Но если забота о безопасности в офлайне воспринимается как что-то естественное, то правила поведения в Сети соблюдают далеко не все.

Прежде всего надо чётко представлять масштабы возможной трагедии. Многие люди беспечно относятся к безопасности в интернете, думая: «Кому может понадобиться мой смартфон, у меня там только фотографии и книга контактов». Итак, вот что могут узнать о вас хакеры, получив доступ к телефону или компьютеру:

Фотографии, видео и прочий контент (даже если он хранится в облаке).
Информацию о документах: паспорте, полисе, билетах и прочем. Особенно это актуально, если вы храните их цифровые копии в приложениях типа «ВКармане», Wallet или даже в папке «Фото».
Финансовую информацию, в том числе CVV вашей карточки, движения по счетам, последние платежи.
Всё, что происходит во всех ваших социальных сетях (взлом аккаунта «ВКонтакте», кстати, входит в топ самых дорогих хакерских услуг) и почте, доступ к вложениям в сообщениях и конфиденциальной корпоративной и личной переписке.
Данные геолокации, микрофона и камеры.

Пароль — находка для шпиона

Скомпрометированный или слабый пароль — второй по популярности метод хакерского взлома (согласно исследованию компании BalabitBalabit: ТОП-10 самых популярных хакерских методов). Тем не менее из года в год в списках самых популярных паролей мы можем видеть классические qwerty, 12345 или даже просто password.

Бывает обратная ситуация: человек придумывает себе супердлинный и сложный пароль и использует его во всех своих аккаунтах: социальных сетях, форумах, интернет-магазинах, личных кабинетах банков. Сейчас, когда каждый из нас зарегистрирован как минимум в десяти разнообразных онлайн-сервисах, единый пароль становится ключом ко всей жизни человека и может сильно навредить ей.

Профилактические меры:

Определяйте сложность пароля исходя из того, к какому аккаунту он ведёт. Очевидно, что безопасность интернет-банка приоритетнее, чем аккаунта на любительском форуме.
Надёжный пароль состоит минимум из восьми символов и отвечает следующим требованиям: наличие прописных и строчных букв (agRZhtj), специальных символов (!%@#$?*) и цифр. Для пароля из 14 символов существует 814 триллионов (!) комбинаций подбора. Проверить, сколько времени понадобится хакерам для взлома вашего пароля, можно на сайте howsecureismypassword.net.
Не используйте общепринятые слова или личную информацию, которую легко получить из открытых источников: дни рождения, клички питомцев, название компании или университета, ваше прозвище и подобное. Например, пароль 19071089, где 1989 — год рождения, а 0710 — число и месяц, не такой уж надёжный, каким кажется на первый взгляд. Можно писать название любимой песни или строку из стихотворения в другой раскладке. Например, ЧайковскийЛебединоеозеро → XfqrjdcrbqKt,tlbyjtjpthj.
Особо важные сервисы защищайте одноразовыми паролями. Для этого можно скачать приложения-диспетчеры, которые их генерируют, например KeePass и 1Password. Или используйте двухфакторную аутентификацию, когда каждый вход в аккаунт надо будет подтверждать одноразовым кодом из СМС.

Общественные сети

Широкая публичная Wi-Fi-сеть помогает жителям больших городов снижать расходы на мобильный интернет. Сейчас редко встретишь место без значка Free Wi-Fi. Общественный транспорт, парки, магазины, кафе, салоны красоты и другие городские пространства давно обеспечивают своих посетителей бесплатным интернетом. Но даже в любимом проверенном месте можно нарваться на хакера.

Профилактические меры:

Следите за названием Wi-Fi-точки: имя авторизованной сети обычно описывает место, в котором вы находитесь, например MT_FREE в московском транспорте. Кроме того, официальная сеть всегда требует авторизации через браузер или одноразовый СМС-код.
Отключите автоматическое подключение к сети на телефоне и ноутбуке — так вы снизите риск поймать поддельную точку доступа.
Если вы любите работать из кафе или часто бываете в командировках, переводите деньги в интернет-банке, то используйте VPN-соединение (частная виртуальная сеть). Благодаря ему весь ваш трафик проходит через сеть как бы в плаще-невидимке, расшифровать его очень сложно. Стоимость подписки на такой сервис обычно не превышает 300 рублей в месяц, бывают и бесплатные предложения.
Используйте протокол безопасного соединения HTTPS. Многие сайты типа Facebook*, «Википедии», Google, eBay поддерживают его автоматически (присмотритесь: в адресной строке название такого сайта подсвечено зелёным цветом, а рядом стоит значок замка). Для браузеров Chrome, Opera и FireFox можно скачать специальное расширение HTTPS Everywhere.
appbox fallback https://chrome.google.com/webstore/detail/gcbommkclmclpchllfjekcdonpmejbdp?hl=ru?hl=ru
HTTPS Everywhere
efforg
Цена: Бесплатно
Загрузить
Цена: Бесплатно
HTTPS Everywhere от EFF Technologists
Разработчик
Цена: Бесплатно
Загрузить
Цена: Бесплатно

Приложения: доверяй, но проверяй

Недавняя шумиха вокруг китайского приложения Meitu, которое обвинили в краже персональных данных, ещё раз напомнила о том, как важно следить за скачиваемыми на свой смартфон приложениями. Серьёзно подумайте, готовы ли вы рисковать своей безопасностью ради лайков под фотографией с новым фильтром.

Кстати, шпионить за пользователями могут даже платные приложения: пока код программного обеспечения не открыт, понять, что оно делает в реальности, достаточно проблематично. Что касается данных, которые могут стать доступными из-за таких программ, то это любые действия и информация, которая есть на устройстве: телефонные разговоры, СМС или данные геолокации.

Профилактические меры:

Скачивайте приложения только из официальных магазинов (App Store, Google Play) и известных вам брендов.
Проверяйте информацию о приложении, разработчике, отзывы пользователей, историю обновлений.
Перед скачиванием всегда изучайте список сервисов, доступ к которым просит приложение, и проверяйте его на адекватность: приложению для обработки фото может понадобиться камера, а вот игрушке-аркаде — вряд ли.

Фишинг — червячок для особо доверчивых рыбок

Всё чаще атаки на конкретного человека становятся для хакеров трамплином к более ценным данным — корпоративной информации. Самый действенный и популярный приём обмана доверчивых пользователей — фишинг (рассылка мошеннических писем со ссылками на ложные ресурсы). Чтобы не стать главным виновником утечки корпоративной информации и кандидатом на увольнение за несоблюдение правил безопасности, следите за тем, что и как вы делаете на рабочем месте.

Профилактические меры:

Знайте и соблюдайте политику конфиденциальности и безопасности компании, в которой вы работаете, и порядок действий при её нарушении. Например, к кому надо обратиться за помощью в случае утраты пароля от почты или корпоративной системы.
Блокируйте своё неиспользуемое рабочее место горячими клавишами Ctrl + Alt + Del или Win + L для Windows.
Не открывайте вложения писем с незнакомых адресов и с подозрительным содержанием. Явные признаки фишинга — воздействие на эмоции («Ваш счёт был заблокирован, пожалуйста, подтвердите ваши реквизиты») и скрытые гиперссылки или адрес отправителя. Чтобы не попасться на удочку злоумышленника, не скачивайте подозрительные вложения (подлинному и важному документу никогда не присвоят название «Отчёт» или Zayavka), проверяйте внешний вид письма (логотип, структуру, орфографические ошибки) и ссылки (зашиты ли они в текст, на какой сайт ведут, подозрительная длина ссылки).

*Деятельность Meta Platforms Inc. и принадлежащих ей социальных сетей Facebook и Instagram запрещена на территории РФ.