Как стать гуру кибербезопасности

Антон Карданов

Руководитель сектора ИБ компании AT Consulting.

Масштаб проблемы

Цифровой мир тесно сплелся с нашей повседневной жизнью: мы давно общаемся, учимся, работаем, совершаем покупки в режиме онлайн. Но если забота о безопасности в офлайне воспринимается как что-то естественное, то правила поведения в Сети соблюдают далеко не все.

Прежде всего надо чётко представлять масштабы возможной трагедии. Многие люди беспечно относятся к безопасности в интернете, думая: «Кому может понадобиться мой смартфон, у меня там только фотографии и книга контактов». Итак, вот что могут узнать о вас хакеры, получив доступ к телефону или компьютеру:

• Фотографии, видео и прочий контент (даже если он хранится в облаке).
• Информацию о документах: паспорте, полисе, билетах и прочем. Особенно это актуально, если вы храните их цифровые копии в приложениях типа «ВКармане», Wallet или даже в папке «Фото».
• Финансовую информацию, в том числе CVV вашей карточки, движения по счетам, последние платежи.
• Всё, что происходит во всех ваших социальных сетях (взлом аккаунта «ВКонтакте», кстати, входит в топ самых дорогих хакерских услуг) и почте, доступ к вложениям в сообщениях и конфиденциальной корпоративной и личной переписке.
• Данные геолокации, микрофона и камеры.

Пароль — находка для шпиона

Скомпрометированный или слабый пароль — второй по популярности метод хакерского взлома (согласно исследованию компании Balabit). Тем не менее из года в год в списках самых популярных паролей мы можем видеть классические qwerty, 12345 или даже просто password.

Бывает обратная ситуация: человек придумывает себе супердлинный и сложный пароль и использует его во всех своих аккаунтах: социальных сетях, форумах, интернет-магазинах, личных кабинетах банков. Сейчас, когда каждый из нас зарегистрирован как минимум в десяти разнообразных онлайн-сервисах, единый пароль становится ключом ко всей жизни человека и может сильно навредить ей.

Профилактические меры:

• Определяйте сложность пароля исходя из того, к какому аккаунту он ведёт. Очевидно, что безопасность интернет-банка приоритетнее, чем аккаунта на любительском форуме.
• Надёжный пароль состоит минимум из восьми символов и отвечает следующим требованиям: наличие прописных и строчных букв (agRZhtj), специальных символов (!%@#$?*) и цифр. Для пароля из 14 символов существует 814 триллионов (!) комбинаций подбора. Проверить, сколько времени понадобится хакерам для взлома вашего пароля, можно на сайте howsecureismypassword.net.
• Не используйте общепринятые слова или личную информацию, которую легко получить из открытых источников: дни рождения, клички питомцев, название компании или университета, ваше прозвище и подобное. Например, пароль 19071089, где 1989 — год рождения, а 0710 — число и месяц, не такой уж надёжный, каким кажется на первый взгляд. Можно писать название любимой песни или строку из стихотворения в другой раскладке. Например, ЧайковскийЛебединоеозеро → XfqrjdcrbqKt,tlbyjtjpthj.
• Особо важные сервисы защищайте одноразовыми паролями. Для этого можно скачать приложения-диспетчеры, которые их генерируют, например KeePass и 1Password. Или используйте двухфакторную аутентификацию, когда каждый вход в аккаунт надо будет подтверждать одноразовым кодом из СМС.

Общественные сети

Широкая публичная Wi-Fi-сеть помогает жителям больших городов снижать расходы на мобильный интернет. Сейчас редко встретишь место без значка Free Wi-Fi. Общественный транспорт, парки, магазины, кафе, салоны красоты и другие городские пространства давно обеспечивают своих посетителей бесплатным интернетом. Но даже в любимом проверенном месте можно нарваться на хакера.

Профилактические меры:

Приложения: доверяй, но проверяй

Недавняя шумиха вокруг китайского приложения Meitu, которое обвинили в краже персональных данных, ещё раз напомнила о том, как важно следить за скачиваемыми на свой смартфон приложениями. Серьёзно подумайте, готовы ли вы рисковать своей безопасностью ради лайков под фотографией с новым фильтром.

Кстати, шпионить за пользователями могут даже платные приложения: пока код программного обеспечения не открыт, понять, что оно делает в реальности, достаточно проблематично. Что касается данных, которые могут стать доступными из-за таких программ, то это любые действия и информация, которая есть на устройстве: телефонные разговоры, СМС или данные геолокации.

Профилактические меры:

• Скачивайте приложения только из официальных магазинов (App Store, Google Play) и известных вам брендов.
• Проверяйте информацию о приложении, разработчике, отзывы пользователей, историю обновлений.
• Перед скачиванием всегда изучайте список сервисов, доступ к которым просит приложение, и проверяйте его на адекватность: приложению для обработки фото может понадобиться камера, а вот игрушке-аркаде — вряд ли.

Фишинг — червячок для особо доверчивых рыбок

Всё чаще атаки на конкретного человека становятся для хакеров трамплином к более ценным данным — корпоративной информации. Самый действенный и популярный приём обмана доверчивых пользователей — фишинг (рассылка мошеннических писем со ссылками на ложные ресурсы). Чтобы не стать главным виновником утечки корпоративной информации и кандидатом на увольнение за несоблюдение правил безопасности, следите за тем, что и как вы делаете на рабочем месте.

Профилактические меры:

• Знайте и соблюдайте политику конфиденциальности и безопасности компании, в которой вы работаете, и порядок действий при её нарушении. Например, к кому надо обратиться за помощью в случае утраты пароля от почты или корпоративной системы.
• Блокируйте своё неиспользуемое рабочее место горячими клавишами Ctrl + Alt + Del или Win + L для Windows.
• Не открывайте вложения писем с незнакомых адресов и с подозрительным содержанием. Явные признаки фишинга — воздействие на эмоции («Ваш счёт был заблокирован, пожалуйста, подтвердите ваши реквизиты») и скрытые гиперссылки или адрес отправителя. Чтобы не попасться на удочку злоумышленника, не скачивайте подозрительные вложения (подлинному и важному документу никогда не присвоят название «Отчёт» или Zayavka), проверяйте внешний вид письма (логотип, структуру, орфографические ошибки) и ссылки (зашиты ли они в текст, на какой сайт ведут, подозрительная длина ссылки).

*Деятельность Meta Platforms Inc. и принадлежащих ей социальных сетей Facebook и Instagram запрещена на территории РФ.