Статистика показывает, что большая часть пользователей не уделяет внимания кибергигиене и отношению к своей персональной информации в интернете. Больше 50% всех утечек информации, компрометации данных и мошенничеств происходит по вине самих пользователей. Александр Дворянский, директор по специальным проектам Angara Security, объясняет, как сохранить свои данные в безопасности.
В корпоративном сегменте дела обстоят более-менее хорошо, бизнес научился оценивать риски и руководители уделяют этому внимание. А простые пользователи плохо информированы о базовой информационной безопасности. Это актуальная и острая проблема.
Как обезопасить свои аккаунты и персональный компьютер от взлома?
- Не использовать во всех системах один и тот же пароль.
- Минимизировать персональную и конфиденциальную информацию о себе, увлечениях и хобби в социальных сетях и общедоступных ресурсах. Для указания контактов в соцсетях и онлайн-магазинах лучше использовать отдельную электронную почту и в идеале — отдельную карту оплаты с заранее настроенным лимитом на покупки.
- Свести к минимуму информацию о себе в интернете. Соцопросы, лотереи и другие «завлекалочки» запрашивают для отправки результатов электронную почту, а в случае ее компрометации ее можно использовать против клиента.
Какой пароль считается самым надежным?
Про надежные пароли пишут много. Особенно про верхние и нижние регистры, разные языки, цифры и спецсимволы. Но до сих пор мы часто встречаем простые пароли, состоящие только из цифр или легко запоминающихся слов.
Рекомендации для составления надежного пароля такие:
- Сложность. Пароль должен быть не меньше чем из восьми символов. Содержать цифры, буквы латинского алфавита, набранные в разном регистре, специальные символы.
- Неочевидность. Грубым нарушением будет использование в пароле номера мобильного телефона, своей фамилии, имени любимого животного или другой персональной информации, т. к. при подборе пароля злоумышленник будет проверять ее в первую очередь. Аналогично не следует использовать простые последовательности символов (qwerty12345) или популярное слово: password.
- Приватность. Пароль эффективен, когда его знает только владелец. Не нужно записывать его на листок и оставлять рядом с компьютером. Передача пароля кому бы то ни было — это нарушение норм безопасности. Пользователь несет ответственность за все действия его учетной записи.
- Уникальность. Не использовать один пароль везде. Иначе при его утечке информация на всех ресурсах станет уязвимой. Один ресурс — один пароль.
- Обновляемость. Чем чаще менять пароль, тем ниже вероятность его утечки. Пароль нужно менять раз в 3 месяца.
- Замены. Менять символы пароля на схожие по начертанию (например, ‘О’ на ‘0’ или ‘s’ на ‘$’)
- Мнемонические выражения. Придумать секретный алгоритм выбора и модификации символов из известной фразы (пословицы, цитаты, слоган, строчка из песни) и использовать его при создании и смене пароля.
Примеры стойкого пароля
Хорошей практикой будет пароль-мотивация. Можно выбрать цель, которую хочется достичь, и модифицировать ее в пароль.
Примеры:
- накопить на поездку в Нью-Йорк (save for trip to New York), пароль: save4trip2NYC;
- прочитать книгу (read the book), пароль: rEadTb00k;
- бросить курить (quit smoking), пароль: QuitSm0k1n’.
Этот пароль безопасен и будет мотивировать на успех в течение срока своего действия. Выбранные цели и алгоритм создания пароля лучше сохранить в тайне и не использовать примеры выше.
Самые распространенные схемы мошенников в интернете
- Фишинг. Мошенники подделывают сайты и почтовые рассылки известных компаний, чтобы убедить пользователей ввести данные. Получив на первый взгляд безобидную информацию, мошенники могут использовать ее во вред. Например, на основании связки паспортных данных и номера СНИЛС злоумышленник может оформить микрозаём.
- Компрометация платежной информации. Частые схемы для получения таких данных — предоплата за товар, подтверждение валидности карты. Указывая свои платежные данные на непроверенном ресурсе, пользователь рискует «засветить» их. В дальнейшем эту информацию могут использовать для оформления небольших онлайн-покупок, не требующих авторизации или введения ПИН-кода. Если такие данные украли — нужно обратиться в банк, блокировать и перевыпустить карту.
- Утечки и компрометация персональной информации. Сама по себе утечка ФИО, даты рождения или номера СНИЛС не так страшна, кроме одновременной компрометации СНИЛС и номера паспорта. Как мы уже говорили выше, в этом случае злоумышленники могут попытаться оформить микрокредит. В остальных ситуациях максимум, что им будет доступно — использовать данные для создания персонализированных фишинговых рассылок и социальной инженерии.
Но с этими данными мошенники могут попытаться добыть в интернете и остальные данные пользователя, включая номер телефона и данные паспорта. Поэтому нужно с осторожностью относиться к распространению чувствительной информации: не размещать ее в открытом доступе, не указывать ее на непроверенных или сомнительных интернет-ресурсах.
- Вирусы-шифровальщики. Путем фишинговых рассылок и переходов по содержащихся в них ссылках доступ к компьютеру пользователя блокируется. Для его разблокировки нужно перевести злоумышленникам деньги. Единственная рекомендация — вовремя обновлять антивирус.
Какую информацию лучше не держать в телефоне или на компьютере?
Телефон потенциально небезопасен для хранения конфиденциальной информации — его легко потерять и забыть.
- Не хранить в заметках в телефоне ПИН-коды от банковских карт, пароли от учетных систем и данные для входа в банковские приложения.
- Не хранить на телефоне фотографии и сканы паспорта, СНИЛС и других документов.
Для компьютера есть все те же правила, что и для телефона. Не нужно хранить важную и чувствительную информацию на рабочем столе, обязательно использовать актуальный антивирус, не пользоваться непроверенными сайтами, не скачивать приложения не с официальных ресурсов.
Общие правила кибергигиены
- Если пользуетесь непроверенным Wi-Fi, не входите с устройства в банковские и другие приложения с персональными данными. Это правило относится и к использованию VPN-сервисов на телефоне. Это не гарантирует безопасности на устройстве.
- Не пренебрегайте функцией пароля для разблокировки экрана смартфона. Для Android стоит использовать сложную комбинацию, для iOS — не менее чем шестизначную комбинацию пароля или разблокировку по Face ID.
- На компьютере и телефоне обязательно нужно установить антивирус и следить за обновлениями.
Как узнать, что компьютер, смартфон или аккаунт взломали? Что делать?
Вот несколько маркеров, что устройство или аккаунт взломаны:
- Невозможно зайти в свою учетную запись.
- От вашего имени публикуют сообщения, рассылки в соцсетях и пабликах.
- На электронную почту приходит сообщение о смене пароля.
- На телефон приходят СМС с подтверждением оплаты или с запросом на ее подтверждение.
В этом случае надо сразу менять пароль. Причем во всех аккаунтах — с доступом к устройству, злоумышленники могут добраться и к остальным ресурсам. Если произошла компрометация смартфона, стоит изменить учетные данные для входа в мобильный банк и другие платежные системы.
Соблюдение правил кибергигиены должно стать для вас чем-то привычным — как чистить зубы или закрыть дверь на ключ. Тогда данные и деньги всегда будут в безопасности.
Читать далее:
Главную теорию происхождения человека опровергли: откуда мы появились
Опубликованы результаты первого тестирования препарата против рака
На Земле теперь живет 8 млрд человек: грозит ли планете перенаселение