На удочку мошенника попасться несложно: «большие скидки в интернет-магазинах», розыгрыши «баснословных призов», звонки от имени близких – схемы уже давно известны. Многие из нас уже приобрели иммунитет к спам-звонкам, подозрительным рассылкам и сообщениям от анонимных аккаунтов в мессенджерах. Почему и как происходит утечка данных, которая приводит к таким атакам, какие дополнительные угрозы с этим связаны и как проверить наличие своей конфиденциальной информации в мошеннических базах данных – рассказал Павел Сергеевич Ладыгин, старший преподаватель кафедры информационной безопасности ИЦТЭФ АлтГУ.
Почему случаются утечки данных?
Данные утекают – это факт. Невозможно описать двумя словами причины, по которым это происходит. Например, существуют хакеры, которые взламывают информационные системы за определенную сумму денег, случаются ошибки в действиях персонала той или иной организации. Мы же должны просто принять во внимание, что все находящееся в Интернете – по умолчанию не защищено. Риск, что данные будут потеряны, есть всегда, и понимание этого должно каждого из нас заставлять задумываться о том, что мы делаем в Интернете, где регистрируемся и какие пароли создаем.
Если злоумышленник взломает (подберет пароль) администратора того или иного сайта, то он получит доступ к данным о пользователях этого сайта, сможет увидеть, какие формы они заполняли, например при регистрации. В большинстве случаев мы создаем логин, затем пароль, бывает, что у нас спрашивают место или дату рождения или просто город, где мы находимся. Например, служба доставки: ей важно знать, где мы проживаем, чтобы привезти заказ. Если мы заполняем форму на сайте Kassy.Ru, то сохранится информация, на какие концерты мы покупали билеты. Эти данные могут быть использованы этими же сайтами для рекламы скидок, акций, предстоящих концертов. Реклама, конечно, настраивается – таргетированная, контекстная – обычно в дружелюбных целях. Но в случае несанкционированного доступа к базе данных этих сайтов уже могут возникнуть и спам-атаки или что-то посерьезнее.
Случаются атаки и на основе открытых данных, которые мы сами оставляем о себе в Интернете.
Совсем недавно был случай: студент присылает мне скриншот сайта, ссылку на который ему передали с определенного номера. Ему предварительно позвонили и сказали, что его подали в списках на тестирование, которое студенту нужно пройти. Это была атака по типу «претекстинг», когда злоумышленник сначала изучает, собственно, потенциальную жертву, в каких она отношениях находится с другими возможными людьми. Они явно узнали, что в институте есть некий Павел Сергеевич, который заодно является заместителем директора по воспитательной работе, и определенный студент, который в этом же институте учится. Мои контакты есть в открытом доступе. Что студент учится в нашем учебном заведении – понятно из его соцсетей. Сопоставить взаимоотношения на основе таких открытых данных – совсем не сложно. Соответственно, можно с помощью манипуляций заставить жертву поверить, что его действительно просят пройти какое-то тестирование, и уже через фишинговый сайт выманить конфиденциальные данные.
Пароль надежный и не очень: в чем разница?
У нас есть три основных способа создать пароль при регистрации на сайте. Первый, очевидно, придумать из головы какой-то пароль и использовать. Второй способ: мы можем зарегистрироваться с помощью ВК-ID или Яндекс-ID. Это значит, что мы делегируем полномочия другому приложению. То есть мы знаем доступ к тому же Яндексу и с помощью него уже входим на новый сайт. Третий способ заключается в использовании менеджера паролей, который генерирует пароль за вас, вставляет его в регистрационное поле и сохраняет у себя, например в браузере. Понятно, что менеджер паролей всегда придумывает что-то крупное и серьезное, поэтому мы не сможем войти в систему с другого компьютера, с большой вероятностью мы этот пароль вспомнить не сможем. Если мы используем менеджер паролей от Kaspersky, то нам придется входить все время только со своих устройств, с компьютера учебного заведения вряд ли. Если мы используем тот же ВК-ID, то нам, так или иначе, придется вспоминать пароль оттуда плюс мы должны иметь дополнительный фактор аутентификации в виде смартфона, где придет SMS или другое уведомление, что вход нужно подтвердить. Из-за этих особенностей и так как не все освоили современные технологии вроде менеджера паролей или, например, ВК-ID, многие придумывают пароль просто из головы, то есть используют первый способ.
Топ-100 придуманных паролей уже давно всем известен: от одного до шести, с точками, с разными вариантами этих комбинаций – их легко можно найти в интернете. Дело в том, что, когда мы регистрируемся на сайте, пароль преобразовывается с помощью хеш-функции в другую последовательность символов, которая и сохраняется в базе данных на стороне сайта. Эта функция однонаправленная: из последовательности бит восстановить то, что было до, не получится. Правда, злоумышленники получили уже много данных из утечек и, соответственно, большое количество вариантов хеш-сумм. Они взяли различные наборы символов, провернули эту же функцию в ту же сторону и получили те же хеш-суммы. Таким образом и выявились самые популярные пароли. Поэтому я использую последовательности больше 12 символов и максимально разные, которые они не смогут подобрать, во всяком случае пока. Только если я сам не передам пароли и не расскажу, как их генерирую, или где-нибудь не попадусь на фишинговый сайт, где это преобразование не произойдет.
Как проверить свои пароли на предмет утечки?
Не так давно мне стали с новой силой активно звонить спамеры. Я сразу же подумал, что мой номер снова оказался в некой базе данных, и решил с помощью разных сервисов проверить в какой. Раньше я пользовался телеграм-ботом Data1eaks, который по адресу электронной почты или номеру телефона выполнял поиск. Скорее всего, это был бот, который мог в Даркнете искать по слитым базам номер телефона и называть сайт, допустивший утечку. В свое время он обнаруживал более 20 утечек. Но бот перестал работать по неизвестным мне причинам и пришлось искать что-то новое. Нейросеть DeepSeek предложила мне зарубежный сервис haveibeenpwned, который нашел семь утечек, но новых не нашел. И последние утечки были датированы 2020 годом. Далее я обратился к «Касперскому», где также есть функция проверки на утечку данных. Он нашел мои старые пароли еще школьных времен, но новых утечек не обнаружил. Я смотрел также с помощью похожих сервисов от Сбера и Национального координационного центра по компьютерным инцидентам – они не нашли утечек совсем. Думаю, что по Даркнету они информацию не ищут. Нашелся еще один способ проверить себя – с помощью менеджера паролей Google Chrome. Он подсказал мне, что у меня есть небезопасные или повторяющиеся пароли и показал сайты, где эти пароли используются. Порекомендовать какой-то один сервис для проверки не получается, но от вышеупомянутых можно получить пищу для размышлений. Если кто-то из читателей знает более способные сервисы, буду рад узнать о них!
Привязывать ли данные карты к сервисам и онлайн-магазинам?
Сохранение данных банковской карты почти на всех сервисах предлагается по умолчанию. По-хорошему, никакая такая привязка и в том числе автоматическое заполнение полей – не безопасны. Конечно, вводить данные каждый раз по-новому неудобно, зато вы точно будете знать, что эти данные никуда не уйдут и никакой случайный человек не сможет ничего оплатить с их помощью. Проверить, к какому сервису привязана карта, можно в приложении банка. Например, в Сбере можно просмотреть все оформленные подписки и отключить их по своему желанию. Если же данные карты попадут в руки злоумышленников, то узнаем мы об этом, когда начнутся попытки списания средств. Был случай на сервисе такси «Максим», когда у девушки начали списывать деньги за поездки, которых она не совершала. Но это случилось, видимо, потому что у нее не была подключена двуфакторная аутентификация в приложении. Произошла утечка или кто-то подобрал логин и пароль и начал совершать «поездки», потому что карта была привязана к сервису. Самое главное – не привязывать банковскую карту ко всем сайтам подряд, с двух сторон ее не фотографировать и в социальных сетях не размещать.
Как обезопасить свои данные в Интернете?
На первый взгляд, кажется, что самый эффективный способ обезопасить себя, как многие и делают, – все пароли хранить в записной книжке или обклеить ими монитор. Но такой способ подходит только маломобильному пользователю, который находится дома и никуда особо не выходит. Держать пароли в заметках в телефоне или в текстовом файле на компьютере тоже не совсем верно: файл может легко потеряться, как и само устройство.
Но и не стоит думать, что ради каждого из нас хакеры будут применять свои методы и охотиться за нашими данными. Стандартный гражданин им мало интересен, как правило. Разве что иногда им случайно «везет», и им удается выманить у пенсионера миллионы, которые тот долгие годы копил.
Это отдельные методы социальной инженерии, но чаще всего они просто перебирают варианты из десятков тысяч абонентов, чьи контакты им удалось получить из открытых или «слитых» источников.
Важно помнить, что пароли, даже временные, никому нельзя сообщать, и всегда по возможности подключать двухфакторную аутентификацию. Даже если кто-то получит ваши логин и пароль, они не смогут ввести код, который пришел вам на телефон. А если они введут его несколько раз неправильно, вход будет заблокирован и вам придет уведомление о попытках входа в ваш аккаунт.
Значит, пароль нужно обязательно обновить. Многие сервисы сами предлагают пользователю обновить пароль, когда он долго не менялся, – это нормальная практика.
Еще один рабочий метод – ассоциативное создание паролей. Когда мы заходим в приложение или на сайт, у нас возникает ассоциация, о чем мы думаем в этот момент времени. Скажем, заходим в приложение банка, возникает слово «кредит» или «обязательство» – любые слова, которые связаны с сервисом. Далее вы придумываете собственную систему внедрения в эти ключевые слова каких-то спецсимволов и цифр. Условно, у вас всегда третья буква большая, после четвертой буквы идет нижнее подчеркивание, а затем какой-то спецсимвол. То, что вы придумали, объяснить человеку сложно, и любому психологу, хакеру, мошеннику будет просто лень сидеть и пытаться понять, как вы рассуждали. Это неплохой способ, который мы придумали со студентами. Так что каждый должен придумать свою систему, выбрать для себя удобный способ хранения и запоминания паролей и проверять их на предмет утечек с помощью доступных сервисов.
Ну и, конечно, поменьше «светить» свой номер телефона, заполнять меньше форм, иметь антиспам, антивирус, проверять сайты, не переходить по подозрительным ссылкам и обучаться цифровой грамотности!
Анна ЗАГОРУЙКО
Фото Дмитрия ГЕРАЙКИНА
