Основы сетевой безопасности — как защитить свои личные данные в интернете
Если вы не слишком заботитесь о сетевой безопасности, будьте готовы к тому, что однажды ваши паспортные данные или CCV-код вашей карты окажется в руках мошенников. И лучше предотвратить это, чем устранять последствия.
Масштаб проблемы
Цифровой мир тесно сплелся с нашей повседневной жизнью: мы давно общаемся, учимся, работаем, совершаем покупки в режиме онлайн. Но если забота о безопасности в офлайне воспринимается как что-то естественное, то правила поведения в Сети соблюдают далеко не все.
Прежде всего надо чётко представлять масштабы возможной трагедии. Многие люди беспечно относятся к безопасности в интернете, думая: «Кому может понадобиться мой смартфон, у меня там только фотографии и книга контактов». Итак, вот что могут узнать о вас хакеры, получив доступ к телефону или компьютеру:
- Фотографии, видео и прочий контент (даже если он хранится в облаке).
- Информацию о документах: паспорте, полисе, билетах и прочем. Особенно это актуально, если вы храните их цифровые копии в приложениях типа «ВКармане», Wallet или даже в папке «Фото».
- Финансовую информацию, в том числе CVV вашей карточки, движения по счетам, последние платежи.
- Всё, что происходит во всех ваших социальных сетях (взлом аккаунта «ВКонтакте», кстати, входит в топ самых дорогих хакерских услуг) и почте, доступ к вложениям в сообщениях и конфиденциальной корпоративной и личной переписке.
- Данные геолокации, микрофона и камеры.
Пароль — находка для шпиона
Скомпрометированный или слабый пароль — второй по популярности метод хакерского взлома (согласно исследованию компании BalabitBalabit: ТОП-10 самых популярных хакерских методов). Тем не менее из года в год в списках самых популярных паролей мы можем видеть классические qwerty, 12345 или даже просто password.
Бывает обратная ситуация: человек придумывает себе супердлинный и сложный пароль и использует его во всех своих аккаунтах: социальных сетях, форумах, интернет-магазинах, личных кабинетах банков. Сейчас, когда каждый из нас зарегистрирован как минимум в десяти разнообразных онлайн-сервисах, единый пароль становится ключом ко всей жизни человека и может сильно навредить ей.
Профилактические меры:
- Определяйте сложность пароля исходя из того, к какому аккаунту он ведёт. Очевидно, что безопасность интернет-банка приоритетнее, чем аккаунта на любительском форуме.
- Надёжный пароль состоит минимум из восьми символов и отвечает следующим требованиям: наличие прописных и строчных букв (agRZhtj), специальных символов (!%@#$?*) и цифр. Для пароля из 14 символов существует 814 триллионов (!) комбинаций подбора. Проверить, сколько времени понадобится хакерам для взлома вашего пароля, можно на сайте howsecureismypassword.net.
- Не используйте общепринятые слова или личную информацию, которую легко получить из открытых источников: дни рождения, клички питомцев, название компании или университета, ваше прозвище и подобное. Например, пароль 19071089, где 1989 — год рождения, а 0710 — число и месяц, не такой уж надёжный, каким кажется на первый взгляд. Можно писать название любимой песни или строку из стихотворения в другой раскладке. Например, ЧайковскийЛебединоеозеро → XfqrjdcrbqKt,tlbyjtjpthj.
- Особо важные сервисы защищайте одноразовыми паролями. Для этого можно скачать приложения-диспетчеры, которые их генерируют, например KeePass и 1Password. Или используйте двухфакторную аутентификацию, когда каждый вход в аккаунт надо будет подтверждать одноразовым кодом из СМС.
Общественные сети
Широкая публичная Wi-Fi-сеть помогает жителям больших городов снижать расходы на мобильный интернет. Сейчас редко встретишь место без значка Free Wi-Fi. Общественный транспорт, парки, магазины, кафе, салоны красоты и другие городские пространства давно обеспечивают своих посетителей бесплатным интернетом. Но даже в любимом проверенном месте можно нарваться на хакера.
Профилактические меры:
- Следите за названием Wi-Fi-точки: имя авторизованной сети обычно описывает место, в котором вы находитесь, например MT_FREE в московском транспорте. Кроме того, официальная сеть всегда требует авторизации через браузер или одноразовый СМС-код.
- Отключите автоматическое подключение к сети на телефоне и ноутбуке — так вы снизите риск поймать поддельную точку доступа.
- Если вы любите работать из кафе или часто бываете в командировках, переводите деньги в интернет-банке, то используйте VPN-соединение (частная виртуальная сеть). Благодаря ему весь ваш трафик проходит через сеть как бы в плаще-невидимке, расшифровать его очень сложно. Стоимость подписки на такой сервис обычно не превышает 300 рублей в месяц, бывают и бесплатные предложения, например у HotSpot Shield или ProXPN.
- Используйте протокол безопасного соединения HTTPS. Многие сайты типа Facebook, «Википедии», Google, eBay поддерживают его автоматически (присмотритесь: в адресной строке название такого сайта подсвечено зелёным цветом, а рядом стоит значок замка). Для браузеров Chrome, Opera и FireFox можно скачать специальное расширение HTTPS Everywhere.
Приложения: доверяй, но проверяй
Недавняя шумиха вокруг китайского приложения Meitu, которое обвинили в краже персональных данных, ещё раз напомнила о том, как важно следить за скачиваемыми на свой смартфон приложениями. Серьёзно подумайте, готовы ли вы рисковать своей безопасностью ради лайков под фотографией с новым фильтром.
Кстати, шпионить за пользователями могут даже платные приложения: пока код программного обеспечения не открыт, понять, что оно делает в реальности, достаточно проблематично. Что касается данных, которые могут стать доступными из-за таких программ, то это любые действия и информация, которая есть на устройстве: телефонные разговоры, СМС или данные геолокации.
Профилактические меры:
- Скачивайте приложения только из официальных магазинов (App Store, Google Play) и известных вам брендов.
- Проверяйте информацию о приложении, разработчике, отзывы пользователей, историю обновлений.
- Перед скачиванием всегда изучайте список сервисов, доступ к которым просит приложение, и проверяйте его на адекватность: приложению для обработки фото может понадобиться камера, а вот игрушке-аркаде — вряд ли.
Фишинг — червячок для особо доверчивых рыбок
Всё чаще атаки на конкретного человека становятся для хакеров трамплином к более ценным данным — корпоративной информации. Самый действенный и популярный приём обмана доверчивых пользователей — фишинг (рассылка мошеннических писем со ссылками на ложные ресурсы). Чтобы не стать главным виновником утечки корпоративной информации и кандидатом на увольнение за несоблюдение правил безопасности, следите за тем, что и как вы делаете на рабочем месте.
Профилактические меры:
- Знайте и соблюдайте политику конфиденциальности и безопасности компании, в которой вы работаете, и порядок действий при её нарушении. Например, к кому надо обратиться за помощью в случае утраты пароля от почты или корпоративной системы.
- Блокируйте своё неиспользуемое рабочее место горячими клавишами Ctrl + Alt + Del или Win + L для Windows.
- Не открывайте вложения писем с незнакомых адресов и с подозрительным содержанием. Явные признаки фишинга — воздействие на эмоции («Ваш счёт был заблокирован, пожалуйста, подтвердите ваши реквизиты») и скрытые гиперссылки или адрес отправителя. Чтобы не попасться на удочку злоумышленника, не скачивайте подозрительные вложения (подлинному и важному документу никогда не присвоят название «Отчёт» или Zayavka), проверяйте внешний вид письма (логотип, структуру, орфографические ошибки) и ссылки (зашиты ли они в текст, на какой сайт ведут, подозрительная длина ссылки).
07.01.2018, 14:45