Логотип
17 июня

Как понять, что сайт не безопасен для ваших данных, и защитить себя

Иногда достаточно внимательно изучить страничку, чтобы заметить неладное. Собрали пять красных флагов и советы по безопасному сёрфингу.
Фото автора Алмаз Загрутдинов
Алмаз Загрутдинов

Редактор спецпроектов Лайфхакера

Как понять, что сайт не безопасен для ваших данных, и защитить себя
Избранное

Когда стоит насторожиться 

У знакомой страницы непривычный или странный дизайн

Изображение: Studio Romantic / Shutterstock / Лайфхакер

Интернет полнится сайтами-двойниками известных социальных сетей, маркетплейсов и банков. Все они преследуют одну цель: получить пароли и данные банковских карт пользователей, которые не замечают подмены. Указывать на фишинг-сайт может кустарность визуала, например непривычные для бренда цвета, куча анимации и всплывающей кликбейтной рекламы в духе «Астролог рассказал, что ждёт Овнов в 2024 году…». А ещё преступники могут скопировать версию сайта, бывшую актуальной несколько лет назад. Стоит обратить внимание и на неформатированный текст, странные шрифты, опечатки и грамматические ошибки. На аутентичных сайтах больших компаний обычно такого не бывает.

Не ясно, как сайт использует персональные данные

Длинные соглашения о конфиденциальности практически никто не читает. А зря: это важный шаг. Особенно на ресурсах, требующих регистрации с использованием персональных данных. Это ФИО, адрес, номера телефонов, а иногда и полные паспортные данные. Такие сайты должны рассказывать, каким именно образом они будут использовать вашу информацию. Также в Политике конфиденциальности обычно указывают, кто и в каком объёме имеет к вашим данным доступ. Если не изучить документ, есть риск своими руками дать согласие передавать данные третьим лицам. 

Также следует позаботиться о своём цифровом следе: убедитесь, что веб-страница не будет запоминать ваши IP-адреса или файлы cookie. Они тоже относятся к персональным данным, так как по ним легко идентифицировать пользователя. Для их хранения требуется согласие самого человека. Именно поэтому большинство сайтов, на которых вы оказываетесь впервые, спрашивают у вас разрешение на использование cookie. Если вы не дадите согласие, сайт всё равно будет работать. Это относится к любому ресурсу: от платформы для покупки билетов до открытия онлайн-счёта в банке. 

Финансовым организациям приходится особенно внимательно относиться к защите персональных данных. Обычно они продумывают системы защиты максимально тщательно. Например, ВТБ, чтобы минимизировать риски, сделал сервис ВТБ ID. Он даёт право заходить на сайты партнёров с учётными данными, используемыми в банке. Чтобы присоединиться к сервису, все сайты-партнёры сначала проходят аутентификацию в ВТБ ID. Затем клиент даёт согласие на использование своих данных — и только тогда вход становится возможным. Отозвать разрешение можно в любой момент в ВТБ Онлайн. Банк не передаёт партнёру логины, пароли и финансовую информацию клиента.

Сайт не использует протокол HTTPS

Уникальный адрес в интернете, или URL, — это тоже индикатор, который поможет вычислить небезопасный сайт. Надёжные ресурсы используют протокол https вместо http. Буква S означает наличие сертификата безопасности. Он гарантирует, что данные, пересылаемые из компьютера на хостинг, зашифрованы и перехватить их не так просто.

Понять, как работает шифровка, можно на простом примере. Обмен данными в интернете идёт через сервисные центры провайдеров. Информацию, отправленную через сайт с незащищённым протоколом http, можно сравнить с незапечатанной открыткой на почте. С её содержимым может ознакомиться любой. Сообщение, пересылаемое по правилам https, — это посылка с замком, причём двойным. Код устанавливают провайдеры и отправителя, и получателя. Поэтому третьим лицам становятся недоступны данные, например, банковской карты, с которой вы покупаете товар в надёжном интернет-магазине.

Страница не нравится браузеру

Современные браузеры, независимо от операционной системы компьютера или смартфона, выполняют базовую проверку безопасности сайтов. О результатах такой проверки можно узнать в адресной строке. Как правило, они выделяют три степени надёжности ресурса: подключение защищено, не защищено, опасно. Игнорировать эти сигналы не стоит. 

В первую категорию попадают все сайты, работающие по протоколу https, во вторую — без него. Это не значит, что администраторы сайта с незащищённым подключением непременно мошенники, которые украдут данные. Подключение протокола шифрования на свой ресурс — это право владельца сайта, а не его обязанность. Открывать и читать такую страницу можно, но оставлять персональные данные рискованно. К «опасным» браузеры относят сайты с подмоченной репутацией — за которыми замечены факты кражи или слива данных. Такие лучше сразу же закрывать.

У сайта не отображается сертификат безопасности

Сертификат безопасности (SSL) — это как раз то, что скрывается за буквой S в аббревиатуре https. Браузеры проверяют его наличие самостоятельно, но иногда не помешает изучить его дополнительно. Например, если вы впервые регистрируетесь в новом онлайн-магазине. Кроме того, мошенники могут добавлять https просто к названию сайта, в надежде что посетители не будут разглядывать адресную строку. Данные сертификата безопасности можно увидеть, щёлкнув на замок слева от URL в адресной строке браузера. Он бывает трёх типов и может обозначаться различными аббревиатурами.

  • Domain Validation (DV). Самый простой сертификат, подтверждающий домен. Доступен всем моментально после создания сайта.
  • Organization Validation (OV). Подтверждает, что конкретный домен принадлежит определённой организации. К примеру, что сайт условной страховой компании действительно создан ею. Для его получения необходима дополнительная проверка специальным центром сертификации. 
  • Extendet Validation (EV). Это документ наивысшего доверия. Выдавая его, центр сертификации максимально тщательно исследует организацию. Такой тип обычно используют сайты, которые хранят много важной информации: банки, интернет-магазины, социальные сети. 

Также существует печать доверия. Она прилагается к SSL-сертификату или покупается отдельно. Представляет собой картинку-логотип проверяющего центра, обычно его можно увидеть в подвале сайта или на страничках оплаты.

Как минимизировать риски

Проверяйте сайты на сторонних ресурсах

Существуют так называемые сканеры безопасности — специальные сервисы, которые анализируют страничку на предмет уязвимостей. Если браузер не уведомил вас о подозрительности сайта, но у вас всё равно есть сомнения, то они могут сделать всю работу по первичной проверке ресурса за вас. Как правило, они действуют просто: вы вводите URL в специальное поле, нажимаете «Проверить» и получаете вердикт. 

Используйте разные пароли и системы аутентификации

О необходимости придумывать сложные пароли наверняка знают многие. Но даже надёжные комбинации не стоит использовать для разных сайтов и сервисов. Слабость такой защиты очевидна: как только злоумышленники узнают код защиты одного ресурса, они получат доступ ко всем страничкам человека — вплоть до наиболее чувствительных, вроде банковских приложений и «Госуслуг». Чтобы не записывать в заметки шифры от десятков сайтов, используйте менеджеры паролей. Тогда вам придётся знать только один ключ безопасности.

Самые безопасные сервисы — те, в которых защита данных для входа усилена при помощи биометрии. Такие, например, использует банк ВТБ. Ключ ВТБ ID есть у всех клиентов банка. С его помощью можно заходить на более чем 130 сайтов партнёров банка. Для авторизации используется изображение лица и отпечатки пальцев или одноразовый код из СМС.

Регулярно обновляйте антивирусное ПО

Изображение: Andrii Iemelianenko / Shutterstock / Лайфхакер

Кроме своей базовой задачи — защиты от вирусов — такой софт часто умеет предупреждать о подозрительных ссылках и сайтах. Некоторые антивирусы блокируют вход в наиболее опасные ресурсы, поэтому вы не сможете открыть их, даже если очень захотите. Своевременное обновление гарантирует, что программа сможет распознавать всё более современные методы обмана.

Банк ВТБ (ПАО). Генеральная лицензия № 1000 на осуществление банковских операций, выдана Центральным банком Российской Федерации 8 июля 2015 года.

Реклама: Банк ВТБ (ПАО)
Обложка: Gorodenkoff / Shutterstock / Лайфхакер
Если нашли ошибку, выделите текст и нажмите Ctrl + Enter
Избранное

Сделано в Лайфхакере

Логотип