Кибербезопасность — как часто менять пароли?
Эксперты по кибербезопасности, опрошенные ТАСС, с ходу называют список главных ошибок, которые делают большинство россиян. Пользователи ставят легкие пароли, не меняют их годами, не используют антивирусные программы, забывают обновлять приложения, подключаются к открытому Wi-Fi, бесконтрольно раздают персональные данные и публикуют слишком много личной информации.
Насколько мне стоит опасаться хакеров? Я обычный человек, а не глава банка или госдепартамента.
Обычные пользователи постоянно становятся жертвами злоумышленников, число преступлений в этой сфере растет. В 2019 году число утечек персональных данных достигло 170 млн., примерно в шесть раз выше, чем в 2018 году. В 70% случаев мошенники заполучали данные через рядовых сотрудников, по данным InfoWatch. В 2018 году 34% россиян подверглись веб-атакам, по данным «Лаборатории Касперского». В основном мотив — кража денег с банковских счетов. В 2017 году таким образом с банковских карт россиян «увели» 961 млрд рублей.
Что пользователи неправильно делают с паролями? И как правильно?
Основные ошибки:
- пароли слишком простые;
Компания SplashData ежегодно составляет топ популярных худших паролей. Пять лет подряд лидеры рейтинга — 123456, password, 123456789, 12345678, 12345. «Открыть» ваш аккаунт, защищенный таким паролем, можно перебором комбинаций, даже не используя специальные программы для взлома. Также плохо, если вы указываете в качестве защиты дату рождения, — подобрать такой пароль не сложнее, ведь эти данные есть в ваших соцсетях.
- одинаковые пароли для всех аккаунтов;
Злоумышленник подбирает пароль от вашей почты и получает доступ ко всему остальному: соцсетям, банковским приложениям. Правильно так: один пароль — один аккаунт.
- пароли хранятся в одноименном документе на рабочем столе компьютера;
Или на стикере, приклеенном на мониторе. В первом случае их легко найдет вредоносная программа, которую вы незаметно для себя «пустите» в систему. Во втором случае — подсмотрит кто угодно.
- бессменные пароли.
Эксперты советуют обязательно менять их раз в три месяца.
Как придумать хороший пароль и где его хранить?
Хороший пароль — это 12–16 символов (можно и больше): букв, цифр и специальных символов разного регистра. Такой пароль трудно придумать и запомнить, поэтому эксперты советуют пользоваться приложениями — менеджерами паролей. Главное — создать надежный пароль для этого приложения. «Берете любое четверостишие и от каждого слова оставляете только первую букву, предлоги и союзы отбрасываем. Если буква похожа на цифру («о» на 0, «з» за 3, «ч» на 4, «в» на 8) — меняем. Если с этого слова начинается строка — делаем букву заглавной. Набираем все в английской раскладке. Из первого четверостишия пушкинского «Узника» («Сижу за решеткой в темнице сырой…») получается внушительный набор символов ChncDy0vVunvrRgr0. И вы с легкостью сможете его воспроизвести», — советует Александр Трошин, технический директор «Манго Телеком».
Как не создать себе проблемы, устанавливая приложения на смартфон?
«Количество угроз для пользователей мобильных устройств постоянно растет. Сейчас нам известно более 34 млн угроз различных классов. Чаще это касается платформы Android, хотя и на iOS встречались зловреды, — говорит Дмитрий Галов, антивирусный эксперт «Лаборатории Касперского». — Мир угроз для Android разнообразен: это и относительно безобидные рекламные приложения, и троянцы-вымогатели, которые блокируют работу устройства, а потом просят выкуп за разблокировку, и даже сложные угрозы, такие как Skygofree (умеет читать личные сообщения, записывать аудио и многое другое — прим. ТАСС).
Часто «заражение» происходит при установке приложений из неофициальных источников. Лучше пользоваться официальными магазинами — App Store для iOS и Google Play для Android.
Чтобы предотвратить установку каких-либо других приложений на Android-устройстве, кроме загрузок из Google Play, перейдите в настройки безопасности и убедитесь, что поле «Неизвестные источники» отключено. (Настройки > Безопасность > Неизвестные источники). «И проверьте права приложения, — добавляет Алексей Федоров, глава представительства Avast в России и СНГ. — Зачем калькулятору доступ к вашим фото или микрофону? Если какие-то запросы на доступ кажутся неподходящими, откажитесь от установки. Почитайте отзывы о приложении, если видите такие: «Программа не выполняет своих функций», «В программу вшито рекламное ПО», это должно стать для вас сигналом». Но даже если вы все сделали правильно, нельзя быть уверенным в безопасности на 100%. «В 2017 году мы нашли в Google Play 85 приложений, с помощью которых злоумышленники крали учетные данные пользователей «Вконтакте», — уточняет Галов.
Говорят, если не ставить на смартфон приложение банка — меньше риск, что «уведут» деньги со счета. Но ведь это удобно! Как быть?
«Современные приложения сами по себе надежно защищены, — говорит Дмитрий Галов. — В некоторых встроены защитные решения, как в приложении «Сбербанк онлайн» для Android. Но, действительно, растет количество так называемых банковских троянцев, которые выманивают учетные данные пользователей. Например, они незаметно перекрывают настоящее окно ввода данных фишинговым, требуя ввести информацию с кредитной карты. В магазинах приложений могут маскироваться под совершенно разные сервисы — популярного сайта бесплатных объявлений, медиаплеера».
Но все это не повод перестать пользоваться онлайн-банкингом, считает эксперт. Есть правила, чтобы снизить риски:
- не переходите по подозрительным ссылкам в сообщениях и почте;
- устанавливайте приложения только из официальных магазинов;
- внимательно следите за поведением приложения: если оно вдруг лишний раз запрашивает данные для входа в аккаунт — это повод насторожиться;
- установите на смартфон на базе Android защитное решение — оно обезопасит от банковских троянцев и других угроз;
- помните — ни один банк не будет просить вас сообщить ему данные для входа в онлайн-банк по телефону или в почте.
Знаю, что нельзя подключаться к общедоступному Wi-Fi, например в торговом центре. А что делать, если нужен интернет?
«Есть следующие угрозы: man-in-the-middle-атаки (злоумышленник перехватывает информацию, которую вы отправляете по Сети — прим. ТАСС), сканирование вашего трафика, использование ложных точек доступа, перенаправление на ложные ресурсы с целью кражи учетных данных и внедрения вредоносного ПО, — перечисляет Алексей Мальнев, руководитель центра мониторинга и реагирования на инциденты ИБ Jet CSIRT «Инфосистемы Джет». — Если вы все же решили пользоваться публичным Wi-Fi, лучше минимизировать или полностью исключить посещение интернет-банков и других важных ресурсов». В общественных местах лучше выходить в Сеть через мобильный интернет — он надежнее неизвестной Wi-Fi-точки. Или использовать сервисы VPN, которые шифруют ваши соединения.
Можно ли обойтись без антивируса?
«Еще одна популярная ошибка — не пользоваться антивирусом. Они умеют очень многое, а стоят на рабочее место дешевле доллара в месяц, — говорит Алексей Болдырев, гендиректор компании «Айтоника». — Одно из главных правил кибергигиены — перед тем, как открыть файл с флешки или документ, присланный по почте, проверить его с помощью антивируса».
Что еще нужно учесть?
Обязательно устанавливать обновления приложений и программ: часто они содержат защиту уязвимостей. Игнорируете обновления — рискуете безопасностью. И проверьте, не работаете ли вы на устаревших системах. «Я видел в различных учреждениях, как люди работают на Windows XP, поддержка которого была давно прекращена, — рассказывает Артур Ханов, преподаватель в Университете ИТМО. — Ясно, что его ставят из экономических соображений, но надо понимать, что он взламывается с пол-оборота. Похожая ситуация с браузерами — многие сидят в интернете через старый Internet Explorer, потому что он их вполне устраивает».
Какие киберугрозы появятся в ближайшем будущем?
Тренд 2019 года — хакерские атаки на «умные» вещи: чайники, радионяни, холодильники, подключенные к Wi-Fi. Почитать о том, как россияне покупают «загаджетованные» бытовые приборы, можно здесь. Атаки на «умные» вещи уже происходят постоянно, а в ближайшие годы число угроз в этой сфере вырастет. Потребители еще не научились кибергигиене в обращении с такими гаджетами. Даже продвинутые пользователи, которые выполняют базовые правила кибергигиены, ставят слишком простой пароль на домашний роутер, никогда его не обновляют или вовсе не меняют стандартную заводскую пару «логин/пароль» на собственные.
«Огромный массив «умных» устройств по всему миру становится доступен при вводе сочетания admin/admin, — рассказывает Андрей Воробьев, директор Координационного центра доменов. — Так злоумышленники получают удаленный контроль над девайсом».
Мне нравится проходить тесты в Facebook в духе «Какой вы супергерой?». Знаю, что так отдаю персональные данные. Это очень опасно?
Онлайн-тесты часто запрашивают доступ к имени и фамилии, дате рождения, списку друзей, вашим фотографиям, постам на стене. Обычно эти данные используются для таргетированной рекламы. Это когда баннеры показываются целевой аудитории, а не всем подряд. Вы даете доступ к аккаунту, сервис собирает все и узнает, например, что вы женщина 30 лет, живете в Хамовниках. Теперь вы будете видеть рекламу фитнес-клубов рядом с домом, а не в Савеловском районе. Это удобно, но есть и простор для мошенников.
«Если такие данные попадут в руки злоумышленников, они могут использоваться для фишинга, который работает лучше, когда к вам обращаются по имени», — объясняет Дмитрий Галов. А учитывая то, что базы с персональными данными, постоянно «утекают» в Даркнет (почитать подробнее об этом можно здесь, с большой вероятностью вы уже в зоне риска.
Вообще способов использования таких данных много. В 2017 году «Вконтакте» подала в суд на Национальное бюро кредитных историй (НБКИ) и стартап Double Data, которые собирали, анализировали и продавали банкам информацию о пользователях: фамилии, имена, данные о месте работы, учебы, регионе проживания, данные из анкет друзей и родственников. На основе этой информации создавались сервисы для оценки кредитоспособности заемщика. Кстати, если вы пожалели о том, что беспечно раздавали в соцсетях личные данные, можете забрать доступ у ненужных приложений. «Почистить» их в Facebook можно здесь, а в Google — здесь.
Что нельзя писать о себе в интернете? Я общаюсь на родительском форуме и рассказываю о своей семье.
«Если женщина сначала пишет на форуме объявление о продаже мебели, оставляя свой номер телефона, а в другом разделе этого же форума жалуется на проблемы со взрослым сыном, через какое-то время ей могут позвонить мошенники с требованием срочно перевести для него денег», — говорит Иван Кривушин, гендиректор диджитал-агентства «БюроБюро».
Иногда, добавляет он, соцсети и форумы читают боты, которые анализируют текст по ключевым словам и сопоставляют их с данными пользователей, чтобы присылать адресную рекламу.
Я не хочу раздавать всем персональные данные. Но сейчас любой сайт требует почту при регистрации.
Можно завести отдельную почту для таких случаев. Не указывать, по возможности, имя, фамилию, дату рождения. «Вместо своей почты можно указывать почту с сайта www.yopmail.com, — говорит Артур Ханов. — Такой почтовый аккаунт создается и проверяется мгновенно и без пароля». Сейчас сфера персональных данных — темный лес как для потребителей, так и для многих компаний, которые в ультимативной форме запрашивают у клиентов сведения, порой ненужные для обслуживания. Однако общемировая тенденция такова: законы в этом направлении становятся жестче, а цифровая грамотность пользователей растет.