Все новости

Как часто менять пароли? Где их хранить? Что не так с вашим роутером? Правила кибергигиены

© REUTERS/Hannibal Hanschke

Эксперты по кибербезопасности, опрошенные ТАСС, с ходу называют список главных ошибок, которые делают большинство россиян. Пользователи ставят легкие пароли, не меняют их годами, не используют антивирусные программы, забывают обновлять приложения, подключаются к открытому Wi-Fi, бесконтрольно раздают персональные данные и публикуют слишком много личной информации.

ТАСС — о том, что может случиться, если вы из числа беспечных пользователей, и к каким новым киберугрозам не готовы продвинутые потребители.

Насколько мне стоит опасаться хакеров? Я обычный человек, а не глава банка или госдепартамента.

?

Обычные пользователи постоянно становятся жертвами хакеров, число преступлений в этой сфере растет.

В 2018 году 34% россиян подверглись веб-атакам, по данным "Лаборатории Касперского". В основном мотив злоумышленников — кража денег с банковских счетов. В 2017 году таким образом с банковских карт россиян "увели" 961 млрд рублей.

Что пользователи неправильно делают с паролями? И как правильно?

?

Основные ошибки:

  • пароли слишком простые;

Компания SplashData ежегодно составляет топ популярных худших паролей. Пять лет подряд лидеры рейтинга — 123456, password, 123456789, 12345678, 12345. "Открыть" ваш аккаунт, защищенный таким паролем, можно перебором комбинаций, даже не используя специальные программы для взлома. Также плохо, если вы указываете в качестве защиты дату рождения, — подобрать такой пароль не сложнее, ведь эти данные есть в ваших соцсетях.

  • одинаковые пароли для всех аккаунтов;

Злоумышленник подбирает пароль от вашей почты и получает доступ ко всему остальному: соцсетям, банковским приложениям. Правильно так: один пароль — один аккаунт.

  • пароли хранятся в одноименном документе на рабочем столе компьютера;

Или на стикере, приклеенном на мониторе. В первом случае их легко найдет вредоносная программа, которую вы незаметно для себя "пустите" в систему. Во втором случае — подсмотрит кто угодно.

  • бессменные пароли.

Эксперты советуют обязательно менять их раз в три месяца.

Как придумать хороший пароль и где его хранить?

?

Хороший пароль — это 12–16 символов (можно и больше): букв, цифр и специальных символов разного регистра. Такой пароль трудно придумать и запомнить, поэтому эксперты советуют пользоваться приложениями — менеджерами паролей.

Главное — создать надежный пароль для этого приложения.

"Берете любое четверостишие и от каждого слова оставляете только первую букву, предлоги и союзы отбрасываем. Если буква похожа на цифру ("о" на 0, "з" за 3, "ч" на 4, "в" на 8) — меняем. Если с этого слова начинается строка — делаем букву заглавной. Набираем все в английской раскладке. Из первого четверостишия пушкинского "Узника" ("Сижу за решеткой в темнице сырой…") получается внушительный набор символов ChncDy0vVunvrRgr0. И вы с легкостью сможете его воспроизвести", — советует Александр Трошин, технический директор "Манго Телеком".

Как не создать себе проблемы, устанавливая приложения на смартфон?

?

"Количество угроз для пользователей мобильных устройств постоянно растет. Сейчас нам известно более 34 млн угроз различных классов. Чаще это касается платформы Android, хотя и на iOS встречались зловреды, — говорит Дмитрий Галов, антивирусный эксперт "Лаборатории Касперского". — Мир угроз для Android разнообразен: это и относительно безобидные рекламные приложения, и троянцы-вымогатели, которые блокируют работу устройства, а потом просят выкуп за разблокировку, и даже сложные угрозы, такие как Skygofree (умеет читать личные сообщения, записывать аудио и многое другое — прим. ТАСС).

Часто "заражение" происходит при установке приложений из неофициальных источников. Лучше пользоваться официальными магазинами — App Store для iOS и Google Play для Android. 

Чтобы предотвратить установку каких-либо других приложений на Android-устройстве, кроме загрузок из Google Play, перейдите в настройки безопасности и убедитесь, что поле "Неизвестные источники" отключено. (Настройки > Безопасность > Неизвестные источники). "И проверьте права приложения, — добавляет Алексей Федоров, глава представительства Avast в России и СНГ. — Зачем калькулятору доступ к вашим фото или микрофону? Если какие-то запросы на доступ кажутся неподходящими, откажитесь от установки. Почитайте отзывы о приложении, если видите такие: "Программа не выполняет своих функций", "В программу вшито рекламное ПО", это должно стать для вас сигналом".

Но даже если вы все сделали правильно, нельзя быть уверенным в безопасности на 100%. "В 2017 году мы нашли в Google Play 85 приложений, с помощью которых злоумышленники крали учетные данные пользователей "Вконтакте", — уточняет Галов.

Говорят, если не ставить на смартфон приложение банка — меньше риск, что "уведут" деньги со счета. Но ведь это удобно! Как быть?

?

"Современные приложения сами по себе надежно защищены, — говорит Дмитрий Галов. — В некоторых встроены защитные решения, как в приложении "Сбербанк онлайн" для Android. Но, действительно, растет количество так называемых банковских троянцев, которые выманивают учетные данные пользователей. Например, они незаметно перекрывают настоящее окно ввода данных фишинговым, требуя ввести информацию с кредитной карты. В магазинах приложений могут маскироваться под совершенно разные сервисы — популярного сайта бесплатных объявлений, медиаплеера".

Но все это не повод перестать пользоваться онлайн-банкингом, считает эксперт. Есть правила, чтобы снизить риски:

  • не переходите по подозрительным ссылкам в сообщениях и почте;
  • устанавливайте приложения только из официальных магазинов;
  • внимательно следите за поведением приложения: если оно вдруг лишний раз запрашивает данные для входа в аккаунт — это повод насторожиться;
  • установите на смартфон на базе Android защитное решение — оно обезопасит от банковских троянцев и других угроз;
  • помните — ни один банк не будет просить вас сообщить ему данные для входа в онлайн-банк по телефону или в почте.

Знаю, что нельзя подключаться к общедоступному Wi-Fi, например в торговом центре. А что делать, если нужен интернет?

?

"Есть следующие угрозы: man-in-the-middle-атаки (злоумышленник перехватывает информацию, которую вы отправляете по Сети — прим. ТАСС), сканирование вашего трафика, использование ложных точек доступа, перенаправление на ложные ресурсы с целью кражи учетных данных и внедрения вредоносного ПО, — перечисляет Алексей Мальнев, руководитель центра мониторинга и реагирования на инциденты ИБ Jet CSIRT "Инфосистемы Джет". — Если вы все же решили пользоваться публичным Wi-Fi, лучше минимизировать или полностью исключить посещение интернет-банков и других важных ресурсов".

В общественных местах лучше выходить в Сеть через мобильный интернет — он надежнее неизвестной Wi-Fi-точки. Или использовать сервисы VPN, которые шифруют ваши соединения.

Можно ли обойтись без антивируса?

?

"Еще одна популярная ошибка — не пользоваться антивирусом. Они умеют очень многое, а стоят на рабочее место дешевле доллара в месяц, — говорит Алексей Болдырев, гендиректор компании "Айтоника". — Одно из главных правил кибергигиены — перед тем, как открыть файл с флешки или документ, присланный по почте, проверить его с помощью антивируса".

Что еще нужно учесть?

?

Обязательно устанавливать обновления приложений и программ: часто они содержат защиту уязвимостей. Игнорируете обновления — рискуете безопасностью. И проверьте, не работаете ли вы на устаревших системах.

"Я видел в различных учреждениях, как люди работают на Windows XP, поддержка которого была давно прекращена, — рассказывает Артур Ханов, преподаватель в Университете ИТМО. — Ясно, что его ставят из экономических соображений, но надо понимать, что он взламывается с пол-оборота. Похожая ситуация с браузерами — многие сидят в интернете через старый Internet Explorer, потому что он их вполне устраивает".

Какие киберугрозы появятся в ближайшем будущем?

?

Тренд 2019 года — хакерские атаки на "умные" вещи: чайники, радионяни, холодильники, подключенные к Wi-Fi. 

Почитать о том, как россияне покупают "загаджетованные" бытовые приборы, можно здесь. Атаки на "умные" вещи уже происходят постоянно, а в ближайшие годы число угроз в этой сфере вырастет. Потребители еще не научились кибергигиене в обращении с такими гаджетами. Даже продвинутые пользователи, которые выполняют базовые правила кибергигиены, ставят слишком простой пароль на домашний роутер, никогда его не обновляют или вовсе не меняют стандартную заводскую пару "логин/пароль" на собственные.

"Огромный массив "умных" устройств по всему миру становится доступен при вводе сочетания admin/admin, — рассказывает Андрей Воробьев, директор Координационного центра доменов. — Так злоумышленники получают удаленный контроль над девайсом".

Мне нравится проходить тесты в Facebook в духе "Какой вы супергерой?". Знаю, что так отдаю персональные данные. Это очень опасно?

?

Онлайн-тесты часто запрашивают доступ к имени и фамилии, дате рождения, списку друзей, вашим фотографиям, постам на стене.

Обычно эти данные используются для таргетированной рекламы. Это когда баннеры показываются целевой аудитории, а не всем подряд. Вы даете доступ к аккаунту, сервис собирает все и узнает, например, что вы женщина 30 лет, живете в Хамовниках. Теперь вы будете видеть рекламу фитнес-клубов рядом с домом, а не в Савеловском районе. Это удобно, но есть и простор для мошенников.  

"Если такие данные попадут в руки злоумышленников, они могут использоваться для фишинга, который работает лучше, когда к вам обращаются по имени", — объясняет Дмитрий Галов. А учитывая то, что базы с персональными данными, постоянно "утекают" в Даркнет (почитать подробнее об этом можно здесь, с большой вероятностью вы уже в зоне риска.

Вообще способов использования таких данных много. В 2017 году "Вконтакте" подала в суд на Национальное бюро кредитных историй (НБКИ) и стартап Double Data, которые собирали, анализировали и продавали банкам информацию о пользователях: фамилии, имена, данные о месте работы, учебы, регионе проживания, данные из анкет друзей и родственников. На основе этой информации создавались сервисы для оценки кредитоспособности заемщика.

Кстати, если вы пожалели о том, что беспечно раздавали в соцсетях личные данные, можете забрать доступ у ненужных приложений. "Почистить" их в Facebook можно здесь, а в Google — здесь.

Что нельзя писать о себе в интернете? Я общаюсь на родительском форуме и рассказываю о своей семье.

?

Нельзя оставлять паспортные данные и данные банковской карты. Но главный риск — интерес мошенников.

"Если женщина сначала пишет на форуме объявление о продаже мебели, оставляя свой номер телефона, а в другом разделе этого же форума жалуется на проблемы со взрослым сыном, через какое-то время ей могут позвонить мошенники с требованием срочно перевести для него денег", — говорит Иван Кривушин, гендиректор диджитал-агентства "БюроБюро". 

Иногда, добавляет он, соцсети и форумы читают боты, которые анализируют текст по ключевым словам и сопоставляют их с данными пользователей, чтобы присылать адресную рекламу.

Я не хочу раздавать всем персональные данные. Но сейчас любой сайт требует почту при регистрации.

?

Можно завести отдельную почту для таких случаев. Не указывать, по возможности, имя, фамилию, дату рождения. 

"Вместо своей почты можно указывать почту с сайта www.yopmail.com, — говорит Артур Ханов. — Такой почтовый аккаунт создается и проверяется мгновенно и без пароля".

Сейчас сфера персональных данных — темный лес как для потребителей, так и для многих компаний, которые в ультимативной форме запрашивают у клиентов сведения, порой ненужные для обслуживания. Однако общемировая тенденция такова: законы в этом направлении становятся жестче, а цифровая грамотность пользователей растет.

Анастасия Степанова