Не только слабый пароль. 3 типичные ошибки в интернете, которые приводят к опасным последствиям

Вместе с компанией «Ростелеком» рассказываем, на что нужно обратить внимание.

Алмаз Загрутдинов

Ведущий редактор спецпроектов

1. Вера в анонимность

Закрытые посты для «своих» или отдельная страница с левым ником — кажется, этого достаточно для безопасного общения в Сети. На деле такие пространства тоже довольно прозрачны: скриншоты, геометки, общие знакомые выдают реального хозяина странички не хуже аватарки с портретом. И даже если сайт не требует авторизации и указания имени и фамилии, он продолжает собирать большой объём информации о вас. Например, местоположение, интересы, покупки и даже персональные данные, если не глядя поставили галочку об их передаче. 

2. Избыточная связанность личных страниц и кабинетов

Кнопка «Войти через соцсеть» экономит время, но привязывает десяток сервисов к одному аккаунту. И после его взлома посыпятся подписки, заметки, фотоархивы и покупки на маркетплейсах. Похожая история с номером телефона, только его обычно привязывают к намного более чувствительным пространствам вроде банка, «Госуслуг» или мессенджеров. Представьте, что будет, если вы потеряли гаджет? 

Чтобы обезопасить себя, не нужно логиниться через один «главный» профиль в соцсетях на десятках сайтов. Для важных сервисов — отдельная учётка, сложный пароль и двухфакторная защита. А ещё не помешает провести ревизию доступов и отрубить всё лишнее. Обычно люди регистрируются на автомате, поэтому вполне возможно, что у вас до сих пор висят неактуальные подписки 10-летней давности. 

3. Вера в публичный Wi‑Fi

Удобно, когда есть открытая и бесплатная сеть в аэропорту, парке или кофейне, но в таких местах вы практически не защищены от злоумышленников. Логины, пароли, переписка и данные карты могут уйти к посторонним, а человек узнает об этом только по уведомлениям о «входе из необычного места» в почте или по непонятному списанию средств на следующий день. В открытых сетях нужно выкрутить меры предосторожности на максимум. Не входите в важные аккаунты и не оплачивайте покупки, а если нужен срочный доступ к банку, безопаснее раздать интернет со смартфона, чем пользоваться общей сетью.

Следить за безопасностью Сети нужно не только в публичном месте, но и дома. К счастью, «Ростелеком» решает эти проблемы за вас. Для этого нужно подключить домашний интернет со всеми необходимыми сервисами для безопасности или выбрать пакетное предложение, включающее также мобильную связь, интерактивное ТВ и онлайн-кинотеатр Wink. Фильтр нежелательных сайтов, мониторинг кредитной истории, блокировка подозрительных звонков и слежение за утечками данных — это не про галочки в настройках, а про спокойную жизнь без сюрпризов. Фильтр помогает убрать из выдачи лишнее: детям — безопасная лента без жёстких сцен и мошеннических страниц, взрослым — меньше тревоги и отвлекающего мусора. Мониторинг кредитной истории предупредит, если кто-то пытается оформить на вас заём, а мониторинг утечек сообщит, если адрес почты, пароли или паспортные данные всплыли в открытом доступе. Всё для того, чтобы вы успели среагировать и защитить себя.

Выбрать безопасный домашний интернет
Реклама: ПАО «Ростелеком»
Обложка: Aleksandr_Lysenko / Shutterstock
Если нашли ошибку, выделите текст и нажмите Ctrl + Enter

Это упрощённая версия страницы.

Читать полную версию
Комментарии
Написать комментарий
Julia Svit
Получается, что как бы не шифровался, если захотят, то взломают (((
- Ответить
Sergei F
Ростелеком в состоянии сделать что-то полезное?
- Ответить
Ирина Л
Как технически происходит мониторинг кредитной истории?
- Ответить
Evialroot
Статья с Хабра про публичный wifi. Как говорится, не всё так однозначно ))Нам каждый раз рассказывают про то, что если подключиться к публичному Wi-Fi, то может случиться что-то ужасное. А, собственно, что? Трафик перехватят; Пароли утекут; Смартфон будет взломан; Установят какой-то мессенджер без вашего согласия.Причем транслируют инструкции «не пользоваться публичными/открытыми Wi-Fi» множество ИБ-компаний, включая вполне именитых экспертов. Но, кажется, это карго-культ 2015 года, и давайте попробуем разобраться, почему и как так вышло! Дисклеймер! В статье умышленно рассматривается самый частый сценарий — подключение к Wi-Fi смартфона обычного человека. А не того, кто находится в розыске ФСБ/ФБР/Интерпола. Подключение ноутбука же ныне значительно более редкий и очень детерминированный сценарий, ведь выстрелить себе в ногу с небезопасной настройкой ноута значительно проще, особенно если ты из IT.Итак, обычный человек, обычный современный смартфон. Поехали?Классическая торговля страхамиКлассическая торговля страхами❯ Современные векторы атак и их ограниченияВ современном мире массовых атак есть разница между атаками на Андроид и IOS устройства. Из-за большей открытости и более простой установки неподписанных приложений на Андроид именно эта платформа стала основной целью массовых атак.В рамках нашего повествования это не так существенно, поэтому я буду упоминать обезличенный «смартфон» и лишь по необходимости уточнять ОС, где есть существенная разница с точки зрения безопасности.Объект нашего исследования — смартфон Васи, который, возможно, не самый новый флагман, но еще поддерживается ответственным производителем! На момент написания статьи под это описание подходят десятки моделей смартфонов, выпущенных с 2020 года.Злоумышленник, назовем его GarNik (никнейм выдуман автором), которого мы будем рассматривать, имеет полный контроль над Wi-Fi точкой доступа и роутером, и не важно, сам ли он поднял эту сеть или захватил контроль над легитимной. Наш хакер не очень технически подкован, но очень упорен и верит в успех! Ведь он начитался множество статей, что небезопасно подключаться к публичному Wi-Fi, и уверен, что сейчас-то он сможет нагуглить множество атак на клиентов его точки доступа! Всё ведь должно быть просто? Да?И вот наш Вася, ввиду плохо работающего или вовсе не работающего мобильного интернета, подключился к Wi-Fi, на котором ждет своих жертв GarNik.Как же можно атаковать Васю и его устройство? И можно ли?❯ Перехват трафикаТрафик Васи под контролем, вот она, победа, да? Увы, нет, почти 100% трафика современного смартфона передается с шифрованием. А значительная часть приложений используют и SSL-pinning, не позволяющий подменять сертификат даже на иной доверенный! Его возможно обойти, но это требует рутовых прав на самом телефоне.А может, попробовать SSLstrip? Попробуем заставить жертву подключиться к серверу без шифрования?Это требует следующего: Сервер должен позволять работать без шифрования по HTTP. Не должно быть SSL-пиннинга, HSTS, HTTPS-only и иных механизмов, умышленно заставляющих включить шифрование.Почти ни одно приложение подобным критериям не соответствует. А даже если такое приложение найти, то получим данные именно этого приложения, не более.К тому же злоумышленник должен таргетировать конкретное уязвимое приложение.Для наиболее результативных атак у злоумышленника все еще должен быть доверенный сертификат!Да, доверенного сертификата у GarNik нет, а значит, шифрование не вскрыть даже при ошибках приложений. Все остальное, что передается незашифрованным — мусор и не позволяет провести атаку на современный смартфон. Можно выяснить обрывки сведений, например: номер телефона, домены, на которые заходят приложения, геолокацию (что в данном случае еще более бесполезно, вот же он сидит под Wi-Fi), какие приложения использует Вася, да и в целом всё. Для Васи это несущественно, как и для большинства других пользователей.❯ Возможная эксплуатацияНужен настоящий взлом. Ведь пишут про эксплойты для смартфонов! Точно что-то должно быть под телефон 2020-го года, да?А вот нет, последняя успешная и публичная цепочка эксплойтов на атаку на чипы Wi-Fi была в 2019 году. Она успешно закрыта обновлениями и была бы эффективна в момент ее публикации и какое-то недолгое время после.Даже непубличных эксплойтов, подходящих под Wi-Fi атаку с выполнением кода на смартфоне, за последнее время нет. А Васин телефон просто устанавливает обновления сам, вот и вся защита.А если вспомнить все вот эти крутые 0-day 0/1-click? Такие стоят под современные операционные системы смартфона от полумиллиона до нескольких миллионов долларов, и явно не по бюджету GarNik. Он бы на такие деньги лучше открыл очередной стартап.Да и такие уязвимости чаще всего не требуют нахождения в одной сети с устройством, если такое есть, то проще, как Pegasus, установить вредонос удаленно.Фактически ни одного способа выполнить код от имени какого-то приложения Васи и нет, а уж поднять привилегии до рута — задача еще более дорогая! Если бы Вася был дипломат, миллиардер или шпион, то да, деньги бы на это потратили. Но и методы были бы иные :)❯ Социальная инженерияНо раз технически всё так плохо, можно воспользоваться социальной инженерией! Показать страничку, где Васю попросят сообщить код от Госуслуг, или скачать и установить APK-файл. Но, кажется, зачем тут Wi-Fi? С таким же успехом можно ссылку/файл прислать куда-либо жертве или позвонить, как мошеннические колл-центры. Wi-Fi-точка гораздо хуже подходит к подобному вектору.А Васю учили в его компании подозрительно смотреть на предлагаемые к установке файлы, а уж код из СМС от Госуслуг и вовсе поверг бы его в панику и побудил как можно быстрее отключиться от сети. Ведь Вася сто раз уже слышал про колл-центры и про опасность присылаемых кодов.GarNik сдался, ни один «клиент» его сети не принес ему ничего. А ведь было вложено немало сил! Кстати, каких?❯ Условия благоприятные для атакиЧтобы максимизировать успех, злоумышленнику нужно очень многое: Поднять точку доступа в популярном месте, однако без иных открытых точек поблизости. Держать ее максимально долго и с сильным сигналом. Размещать оборудование самостоятельно или с помощью подельника. Ловить/провоцировать перебои сотовой сети, ведь чаще всего люди сидят на мобильном интернете.И даже в таком случае всё, что ему будет доступно в большинстве случаев — социальная инженерия, которую можно было сделать значительно проще и не прибегая к огромному риску для себя. Даже минимальный улов не гарантирован, в отличие от случая массового фишинга!GarNik ушел читать про фишинг, он снова поверил в успех, а о негативном опыте думать не привык, как и учиться на своих ошибках. Думаю, он еще вернется с новым кейсом к нам на разбор.❯ РеальностьКогда я готовил эту статью, то посетил два хороших мероприятия по кибербезу и спросил у коллег-расследователей, известно ли им о каких-либо живых кейсах взлома устройств через Wi-Fi или о случаях размещения вредоносных Wi-Fi. Все ответили «нет». Злоумышленники, прекрасно понимая риски и невысокие перспективы подобных атак, ими просто не пользуются. Гораздо эффективнее и безопаснее для них — протащить в магазин приложений вредоносные приложения или разослать качественный фишинг.❯ А почему все так говорятА как так вышло? Кто обманул нашего неудавшегося хакера? Его обманул карго-культ.С начала 2010-х в кибербезных СМИ стали писать об опасностях публичных Wi-Fi, и до условного 2015–2017 года в этом был смысл. Смартфоны того времени были не настолько security by design, как сейчас. Но главные атаки были на трафик: ICQ — основной и открытый мессенджер; WhatsApp до 2013 года не имел никакого шифрования; VK преимущественно работал на HTTP как минимум до середины 2010-х; Об SSL-pinning и вовсе никакие приложения не слышали; Изоляция приложений внутри смартфона была значительно хуже; Подпись пакетов и исполняемых файлов использовалась в разы реже; Из-за повального использования HTTP вместе с HTTPS работал и SSLstrip у множества банков; Основные коммуникации были через веб-морды, а не приложения.И прочее, прочее.К слову, тогда большинство людей на Wi-Fi садились с ноутбуком! Поэтому пугалки-то были скорее для них.А почему карго-культ? Каждый год эксперты с умным лицом повторяли тезисы прошлого года, а технологии безопасности шли вперед. В итоге культ остался, а смысл его уже никто и не помнит. Все просто повторяют то, что уже не имеет отношения к реальности, совсем не рефлексируя. А я для вас сделал ревью.Но значительная часть ИБ-компаний и тех, кто продает трехбуквенные технологии «защиты трафика», продолжают умышленно тиражировать эти пугалки. Просто чтобы наживаться на страхе неопытных пользователей! Например, ваш провайдер видит то же самое, что было рассмотрено в этой статье. Подобные манипуляции от продажников/пиарщиков достойны общественного порицания.❯ ВыводыСовременный обновленный смартфон — крепость, он сам защищает вас от очень многого. Обновляйте его, и покупайте обновляемые модели популярных производителей. Атаковать ваш смартфон без вашей ошибки — крайне сложная и невыгодная задача.Так получилось просто потому, что современные смартфоны разрабатывались уже в эру зрелого подхода к безопасности.А если вы будете начеку с точки зрения социальной инженерии, то публичные Wi-Fi для вас точно не будут угрозой.)
- Ответить
Что вы могли пропустить

Найдите кошку: 15 фото, на которых питомцы слились с окружением

«Даже лучше, чем было»: 16 впечатляющих примеров реставрации старой мебели, техники и не только

В Сети показали самые интересные находки в старых домах: 13 фото

Ожидания и реальность: 15 покупок в интернете, ставших полным фиаско

Вы заметили? 14 забавных кадров с животными, которые случайно попали в фотоловушки

Олдскулы сводит: 12 ностальгических фото, которые возвращают в детство