Чтобы взлом был «в лом»
Но самое печальное, что зачастую сами пользователи из-за неопытности или банальной лени облегчают работу злоумышленникам. А этого делать категорически не рекомендуется, ведь именно сложность защиты может сделать взлом именно вашего аккаунта… Нет, не невозможным. Но все же затрудненным.
Давайте сразу определимся, что в настоящий момент от этих атак нет абсолютной защиты. Единственный выход — сделать так, чтобы взлом стал невыгодным. То есть время, вычислительные мощности и затраты на оборудование в совокупности должны превышать выгоду от взлома. Желательно как минимум на порядок.
Организованная группа хакеров с многомиллионным оборудованием и хорошей подготовкой может, например, взломать центральный сервер какой-нибудь социальной сети или крупного банка. Но в этом случае им будут противостоять столь же подготовленная команда профессионалов и лучшие средства защиты. А в ситуации с обычным пользователем с одной стороны компьютера сидит мелкий взломщик, а с другой — вы. И только от вас зависит, насколько сложно и невыгодно ему будет вскрывать ваш аккаунт.
Для начала разберемся, какие именно методы взлома могут быть использованы. Первый и самый простой — перебор или так называемый «брутфорс», метод грубой силы. Специальная программа с помощью ресурсов компьютера взломщика перебирает всю прорву комбинаций букв, цифр и других символов. И, конечно же, рано или поздно одна из них должна подойти. Вопрос лишь в том, будет ли затраченное взломщиком время окуплено.
Соответственно, чем длиннее и сложнее ваш пароль, тем затратнее по времени и сложнее будет его взломать. Именно поэтому при регистрации в интернет-банкинге рекомендуют использовать в пароле прописные и заглавные буквы, цифры, а также хотя бы один из специальных символов. Для взлома такого пароля потребуется либо огромное количество времени, за которое службы безопасности банка успеют среагировать и предотвратить атаку, либо длительная подготовка и настройка большого числа «ботов» — виртуальных компьютеров, используемых в качестве вычислительных аппаратов.
Для взлома одного счета конкретного пользователя такая подготовка может быть слишком дорогой, а результаты не окупят затрат. Кроме того, службы безопасности могут еще и отследить незадачливого хакера. А за киберпреступления у нас сейчас преду-смотрен вполне реальный уголовный срок.
Поэтому первое правило защищенного аккаунта — сложный пароль и отсутствие простых наводящих вопросов. Если секретный вопрос на восстановление пароля «имя вашего домашнего питомца», а ответ — «Барсик», то ваш аккаунт скорее всего уже взломан. Просто вы об этом еще не знаете.
Когда ты лох, это очень опасно
Однако даже сверхсложный пароль из 20 символов, никак не связанных логикой, не гарантирует стопроцентной защиты. Ведь куда проще «спросить» пароль у самой жертвы. Это называется «фишинг», в переводе с английского — рыбалка. И действительно — попасться на такую удочку может даже опытный пользователь. Происходит это так.
Вас заманивают на сайт, который требует аутентификации через социальную сеть или почту. Обычно это сайты со всякими рекламными акциями и заманчивыми предложениями. И когда вы введете свои логин и пароль, они тут же окажутся в базе данных злоумышленников. И в нужный момент взломщики ими воспользуются.
Фишинг может быть и другого вида. В случае слабой защиты компьютера (устаревший антивирус, отсутствие firewall или других программных средств защиты) вредоносная программа может проникнуть в систему и медленно собирать все ваши данные, периодически отправляя пакеты сообщений потенциальным взломщикам.
Отследить такую деятельность довольно сложно. И по статистике около 56 процентов всех персональных компьютеров заражены теми или иными фишинговыми программами. Это происходит еще и потому, что такие «жучки» довольно легко встроить хоть в скачиваемые с сайтов программы, хоть во flash-ролики, которые просматривает пользователь. Причем и сайты, и ролики, на первый взгляд, кажутся вполне безопасными.
Решение этой проблемы все-таки есть. Необходимо регулярно проводить проверку компьютера и устанавливать обновления на антивирусное ПО. И сразу после этого менять пароли на всех аккаунтах. Тогда ваши данные будут защищены. Хотя бы на время.
Еще одна проблема состоит в том, что многие пользователи используют всего один пароль для множества аккаунтов. В этом случае, взломав одну базу данных с паролями или украв пароль от одного сайта, атакующий получает доступ и к другому, возможно, более ценному ресурсу. Помимо самого взлома аккаунта возможны ситуации, когда пароль не скомпрометирован, но злоумышленники все равно имеют возможность действовать от лица пользователя.
Наверняка многие сталкивались с возможностью «войти на сайт», используя Facebook, Twitter или «ВКонтакте». Нажимая на такую кнопку, пользователь оказывается на странице социальной сети, где у него спрашивают, доверяет ли он этому стороннему сайту. Иногда среди действий, которые просит разрешить сторонний сайт, оказывается и публикация новых сообщений от имени пользователя. В результате злоумышленникам необязательно взламывать, например, твиттер, чтобы публиковать твиты.
Как это ни печально, но на стороне злоумышленников не только вредоносное ПО и прочие электронные хитрости, но и простая психология. Есть такое понятие, как «социальная инженерия» — метод управления действиями человека без использования технических средств. Эта методика придерживается той же концепции, что и фишинг — «спросить у пользователя пароль», но не с помощью почтового ящика, а в реальном мире.
Любимый трюк социальной инженерии — позвонить в офис под видом сотрудника IТ-безопасности и просто попросить пароль доступа к сети. Вы будете удивлены, как часто это работает. В США, например, было несколько прецедентов, когда злоумышленники одевались в униформу сотрудников компании и, надев бейдж, просто подходили ко всем без исключения работникам и спрашивали логин и пароль от рабочих аккаунтов. Таким образом, в сети утекали базы данных целых корпораций.
Сколько стоит твой аккаунт?
Зачем кому-то в интернете может понадобиться мой аккаунт? — может спросить любой пользователь. Поверьте, даже если вы не медийное лицо или преуспевающий бизнесмен, вашим данным может найтись множество применений. В самой банальной ситуации злоумышленник, взломав ваш аккаунт в социальных сетях, рассылает всем вашим друзьям и знакомым просьбу одолжить денег.
Естественно, перечисления пойдут на счет взломщика. Конечно, сейчас на такое мало кто ведется, но неопытный пользователь, как известно, не мамонт.
В другой ситуации взломщик может попытаться продать ваши данные вам же. Конечно же, если эти данные конфиденциальные, и вы не желаете, чтобы они стали достоянием общественности. Вы же не хотите, чтобы ваша жена увидела переписку с любовницей (при условии, что обе в наличии). Или чтобы коллеги узнали, что в рабочее время вы смотрите видео порнографического содержания.
Разумеется, ничего такого никто из нас не делает, и вообще мы все примерные семьянины. Кстати, специалисты по информационной безопасности советуют ни в коем случае не соглашаться на условия взломщика, поскольку он будет продолжать тянуть из вас небольшие суммы до тех пор, пока это возможно. Лучше уж сразу принять удар, но при этом остаться хотя бы при деньгах. Дополнительным плюсом станет тот факт, что взломщик потратит время и собственные средства впустую.
В моде сейчас так называемые «интернет-детективы». Это по сути те же взломщики, которые работают на заказ и предлагают услуги по добыче информации с конкретных аккаунтов. И хотя чаще всего, получив задаток, они прерывают все контакты (в таком случае это никакие не хакеры, а обыкновенные мошенники), отбоя от заказов у них не бывает. Тем более что цены на свои услуги они выставляют обычно небольшие — от тысячи тенге.
Ну а чаще всего данные взломанных аккаунтов просто остаются в базе злоумышленников, так сказать, до востребования. Например, хакеры из группировок Peace of Mind и Tessa88 выставили на продажу 100 миллионов учетных записей «ВКонтакте» (наряду с украденными аккаунтами Twitter, LinkedIn и Tmblr), причем независимые проверки показали, что большая часть из них позволяет войти в социальную сеть.
Больше паролей, сложных и разных
Так что же делать, чтобы защититься от взлома? Помимо постоянной проверки оборудования и надежного пароля на сегодняшний день самым надежным способом защиты считается двухфакторная авторизация.
В социальных сетях «ВКонтакте» и Facebook она работает с 2014 года. Присутствует она и во многих почтовых сервисах и на торговых площадках. Это означает, что помимо логина и пароля для входа в соцсеть потребуется ввести специальный код подтверждения. Можно использовать уникальный код, который приходит в виде SMS, список одноразовых резервных кодов или входить с помощью специального мобильного приложения, генерирующего пароли.
Подключать двухфакторную аутентификацию можно прямо в настройках социальной сети или других сервисов. Но надо помнить, что после этого войти на свою страницу, используя только пару логин/пароль, будет уже невозможно, а все попытки входа в пользовательский аккаунт будут фиксироваться в уведомлениях.
Кроме того, пароли во всех аккаунтах должны быть уникальными и разными. И уж конечно не стоит хранить их на рабочем столе компьютера в файле «пароли». Если вы не можете их запомнить, запишите на бумажке (но никому ее не показывайте) или для того, чтобы придумать пароль, возьмите первые буквы из стихотворной строчки или цитаты, чередуя регистр или заменяя некоторые из букв на цифры.
Можно еще добавлять в середину или начало пароля букву из названия конкретного ресурса. Можно также использовать надежные утилиты для хранения паролей, которые создают производители антивирусного ПО, но это работает только в том случае, если ваш компьютер надежно защищен. На самом деле обеспечить хотя бы минимальную информационную безопасность довольно просто. И уже это усложнит работу взломщикам весьма значительно. Поэтому не упрощайте хакерам жизнь — пусть мучаются.
