Блоги

17 января, 21:27

НВ Премиум

Как защититься от взлома — несколько элементарных правил, которым никто не следует

Николай Сребнюк

Руководитель направления информационной безопасности MacPaw

Рассказываем, как защитить свои данные в интернете и почему ваша дата рождения — не слишком надежный пароль.

Каждые 39 секунд в мире происходит кибератака. В то же время количество интернет-пользователей растет ежедневно, и сегодня их уже более 4.66 миллиарда. Каждый, пользующийся интернетом, находится в зоне риска стать жертвой хакеров. Они могут взломать пароль от фейсбук-страницы, украсть деньги с вашей карты или даже зашифровать всю информацию на вашем компьютере.

Цифровое образование и кибергигиена распространяются медленнее интернета. Поэтому вопрос образования, обучения базовым навыкам безопасного поведения в киберпространстве — крайне важен. Нужно ежедневно соблюдать определенные правила поведения, которые будут вас защищать, как правила дорожного движения — на улице.

Как защитить данные

Подпишитесь, чтобы прочитать целиком

Нам необходима ваша поддержка, чтобы заниматься качественной журналистикой

Подписаться
Первый месяц 1 ₴. Отписаться можно в любой момент

Самое важное правило — не нажимать на все подряд. Речь даже о ссылках, которые вы получаете в сообщениях от друзей или электронных письмах от коллег. Если вы не ожидали получить эту ссылку, и она кажется подозрительной или адрес сайта не такой, каким должен быть, то нужно подумать прежде чем нажимать. Соответственно, если вам присылают интересную программу с просьбой запустить ее, то стоит переспросить адресанта через какой-то другой канал коммуникации, действительно ли по условной ссылке notavirus.exe — фото из отпуска.

Есть два основных индикатора в названии сайта, на которые следует обратить внимание. Первый — это название сайта. То есть, если она выглядит в стиле totallynotavirus.com, то, возможно, с этим сайтом что-то не то. Второй — злоумышленники могут использовать название сайта, похожее на реальное. Например, использовать google.com, но вместо двух букв «о» — одну. Лучше смотреть на главный корень названия сайта.

Кроме того, следует организовать свои пароли. Сейчас есть множество ресурсов, с которыми мы работаем в интернете. Практически все требуют авторизации. Мы часто устанавливаем простые пароли или повторяем один пароль на разных ресурсах. Это не способствует защите данных, потому что такие пароли легко взламываются. Поэтому целесообразно использовать парольный менеджер, позволяющий сгенерировать надежный пароль и сохранить его. Для использования парольным менеджером необходимо запомнить только пароль от собственно самого менеджера. Но этот пароль должен быть сложным и надежным и использоваться только для этого менеджера. Следует также подумать, что произойдет, если база парольного менеджера станет недоступной и вы потеряете доступ ко всем вашим сервисам и приложениям. Продумайте и разработайте подробный план для такого случая. Как правило, для восстановления всех доступов рекомендуется использовать учетную запись вашей электронной почты, от которой вы должны помнить пароль.

Каким должен быть надежный пароль? Парольные менеджеры разрешают сгенерировать надежный пароль. Если у вас нет возможности воспользоваться парольным менеджером, то следует помнить: компьютеру легко перебирать комбинации паролей. Однако чем длиннее комбинация, тем больше времени понадобится компьютеру, чтобы это сделать. Поэтому можно взять фразу, которую вы легко запомните, и написать эту фразу без пробелов, заменить одну букву цифрой. Это будет гораздо эффективнее, чем придумать пятизначный или шестизначный пароль с разными символами, которые вы забудете сразу после того, как вы придумали. Но все же лучше пользоваться парольным менеджером, который создаст вам надежный пароль.

В целях безопасности ваших учетных данных советуем всегда относиться к этому ответственно. Первое правило — не делиться вашими учетными данными (паролем, токенами, ключами) и информацией, применяемой для доступа к услугам, которыми вы пользуетесь.

Проверьте настройки безопасности социальных сетей, электронной почты и мессенджеров. В последнее время почти все сервисы имеют отдельное меню. Например, в вашем аккаунте Google есть сценарии, по которым вы можете легко проверить такие настройки безопасности: какие устройства имеют доступ к вашим аккаунтам, какие ваши настройки конфиденциальности, какую информацию эти сервисы о вас собирают, как ее обрабатывают и с какими компаниями делятся ею.

Включите двухфакторную авторизацию на важных вам ресурсах: в соцсетях, онлайн-банкинге, финансовых сервисах. Она предполагает использование двух факторов. Первый — это ваш логин и пароль, а второй — это ваша собственность: телефон, физический USB-токен. После ввода логина и пароля система или веб-сервис потребуют второй фактор для входа. Есть ресурсы, поддерживающие отправку SMS с временным кодом. Кроме того, можно установить специальное приложение на телефон. Лучше пользоваться приложениями или физическими токенами USB, потому что SMS как второй фактор можно обойти, перевыпустив SIM-карту.

Обратите внимание, как вы храните данные. Следует помнить о трех основных атрибутах информации: конфиденциальности, целостности и доступности. В рамках конфиденциальности следует знать, кто имеет доступ к информации и может ее прочитать: только вы или кто-то еще? Если да, то кто это может быть?

Что касается целостности, то нужно знать, как понять, что вашу информацию никто не модифицировал. То есть должен быть какой-то журнал действий (другими словами — версионность) относительно вашей информации, с помощью которого вы можете легко увидеть, изменял ли кто-то вашу информацию, и когда это произошло.

Последний атрибут информации — это доступность. Нужно задаваться вопросом: что будет, если информация на этом носителе или ресурсе повредится или станет недоступной? Есть ли у вас резервные копии этой информации? С какой периодичностью вы создаете резервные копии? Надежно ли место, где вы храните резервные копии?

VPN — еще один хороший способ защитить данные. Виртуальную частную сеть или VPN часто используют, чтобы обойти геоблокировку: например, посмотреть фильмы, недоступные в Украине. Однако этот сервис создан прежде всего для защиты данных в интернете. Для этого программа создает зашифрованный тоннель данных и скрывает местоположение, IP-адрес и действия пользователя.

Например, VPN может надежно защитить вас в общедоступных сетях Wi-Fi в общественных местах: в кафе, магазине или на вокзале. Такие открытые сети могут создавать для сбора данных о пользователях. Сегодня VPN преимущественно используют надежные алгоритмы шифрования, поэтому соединение будет зашифровано, чтобы никто не смог перехватить ваши приватные разговоры, прочитать электронные письма, отследить ваши действия в интернете или похитить личную информацию.

Однако не каждый VPN сможет надлежащим образом гарантировать безопасность в сети. В выборе приложения следует учитывать ряд важных критериев. Лучший вариант — это VPN, использующий профессиональное шифрование данных. К примеру, зашифрована связь AES-256. Этот протокол используют в военной и банковской сферах. Любые попытки сломать его будут неудачными, поскольку на это могут уйти миллиарды лет.

Также важно учитывать политику VPN в отношении так называемых логов, то есть выяснить, сохраняет ли VPN данные пользователей. У надежного VPN всегда есть четко сформулированная политика анонимности. Приложение не сохраняет IP-адрес и историю просмотров, так как можно легко отследить человека. Следует избегать использования приложений, продающих данные третьим сторонам или передающих их правоохранительным органам. И последний, но не менее важный критерий — это простота использования технологии. Продукт должен быть понятен и удобен для пользователей.

Как не попасть на крючок хакеров

В первую очередь включайте здравый смысл. Если кто-то пишет, что умер нигерийский принц и оставил вам миллион долларов наследства, то, возможно, стоит задуматься, перед тем как отправлять 100 долларов на «оформление документов».

В фишинговых атаках (то есть во время которых пользователь сам выдает частные данные) используются стандартные техники, которые можно распознать по «красным флажкам».

  • Первый флажок — это побуждение человека к неотложному или срочному действию. Обычно вас просят что-нибудь быстро сделать. В таких случаях не спешите, подумайте и узнайте причину такой спешки через другой канал коммуникации.
  • Второй флажок — это просьба предоставить доступ или переслать важную информацию, например, финансовые или учетные данные, которые можно использовать для мошеннических действий.
  • Третий флажок — когда все слишком хорошо, как в случае с «наследием нигерийского принца». Конечно, награда очень соблазнительная, но это должно настораживать.
  • Четвертый флажок — элемент внезапности: сообщения или обращения, которых вы точно не ожидали. Постарайтесь понять, почему вам прислали это сообщение и действительно ли об этом знает потенциальный отправитель.
  • Пятый флажок — информация неполная или не похожая на настоящую. Следует связаться с человеком, который направил вам эту информацию и убедиться в легитимности этого запроса.
  • Шестой флажок — это подозрительные сообщения с прикрепленными файлами типа not_a_virus.pdf или сообщения от «налоговой», в которых вас просят открыть прикрепленные файлы.

Кибербезопасность на работе

Информационная безопасность людей в команде в основном зависит от них самих, поэтому нужно обучать команду. Это можно сделать через тренинги, новости и тестовые фишинговые письма. Если коллеги понимают, с какими кибератаками и их последствиями могут столкнуться в будущем, то смогут на них профессиональнее отреагировать. Например, приложения, загруженные из браузера, а не через магазин приложений, имеют больше шансов нанести ущерб или похитить данные. Эти знания позволят более скептически относиться к таким приложениям и консультироваться с ІТ-отделом или специалистами по безопасности относительно их загрузки и использования.

Внутренняя система компании может адаптировать шаблоны фишинговых писем индивидуально под каждого адресата. Для адаптации нужно получить результаты предыдущих решений коллег по тестовым фишинговым письмам. Например, если человека заинтересовало письмо, и он его открыл, чтобы прочесть, то в будущем фишинговые тестовые письма такой тематики будут поступать чаще. Если кто-то перейдет по ссылке, то можно предложить пройти дополнительный учебный курс о том, как распознать фишинговое письмо.

Также для поддержания тонуса по информационной безопасности необходимо постоянно следить за новостями по этой теме и делиться ими через внутренние каналы коммуникации в компании. Например, в случае утечки важных данных из сторонних сервисов мы говорим об этом и призываем обновить пароли в скомпрометированных сервисах.

Будущее кибербезопасности

Остаются актуальными угрозы, связанные с интернетом вещей, — физическими устройствами, в которых есть программное обеспечение (например, «умный» чайник или холодильник). И проблема не в том, что кто-то может взломать ваш холодильник и посмотреть, какое молоко вы пьете, а в том, что эти зараженные аксессуары используются как частица крупных ботоферм для атак на другие ресурсы или для присвоения аккаунтов пользователей. Впрочем, с точки зрения конечного пользователя, способы борьбы с этим такие же, как и раньше. Во-первых, если вы приобретаете вещь, которую вы будете подключать к интернету, необходимо установить для нее надежный пароль. Во-вторых, следует не забывать обновлять программное обеспечение. С каждым обновлением компания-изготовитель пытается устранить найденные проблемы и уязвимости в IoT-устройстве.

Как и сейчас, будет угроза попасть на крючок вредоносных программ, которые проникают в компьютер из-за уязвимости операционных систем или из-за неосведомленности пользователей. Как следствие, вся информация на компьютере шифруется и поступает сообщение о том, что нужно оплатить выкуп, дабы получить ключ к расшифровке.

Не стоит забывать о дипфейках, позволяющих эмулировать звонок от близкого человека и просить перечислить деньги. Способ защиты от такого способа мошенничества — проверить информацию через другой источник коммуникации или перезвонить по телефону этому человеку. Это работает также для фишинговых писем, в которых просят перечислить деньги.

Еще один опасный тренд — отождествление человека с его цифровым профилем в различных базах данных, социальных сетях и в интернете. К примеру, паспорт и разные справки в мобильных приложениях. Компрометация этих баз может нанести значительный ущерб пользователям. Используя эти данные, кто-либо может представиться другим человеком в интернет-сервисах, выполнить финансовые операции кредитования или денежные переводы от имени гражданина, чей профиль похитили.

Поскольку больше стран будет продвигаться в направлении диджитализации профилей своих граждан, тем больше будет смещен фокус хакеров в этом направлении. К примеру, несколько лет назад в американском бюро по кредитной истории Equifax злоумышленники получили доступ к кредитной истории почти всех граждан США. Они получили записи о финансовом состоянии граждан, их кредитах и текущих финансовых проблемах. Такая информация позволяет создавать более правдивые сценарии фишинга или служит для дальнейших атак на граждан.

Технологии развиваются, угрозы модифицируются, но способы борьбы с ними остаются те же: быть внимательными, мыслить критически, проверять подозрительную информацию.

В подготовке материала принимал участие Артем Тихонов, инженер направления информационной безопасности MacPaw

Другие новости

Все новости