Источник:
Очередная утечка более миллиарда комбинаций почтовых ящиков и паролей снова показала, что люди беспечно относятся к персональным данным. Итак, что можно сделать с логином и паролем обычного пользователя на самом деле?
В ходе прочтения может показаться, что все очень плохо. Это не так, но угроза реальная. Потому лучше понимать, чем мы рискуем и как можно себя обезопасить.
Сервисы
Большинство пользователей не понимает, что устройства и аккаунты в сети — это пропуск. Точнее, не учитывают, что их «никому не нужный» аккаунт используется в видеосервисах вроде YouTube Premium, Netflix и Megogo. За которые регулярно платятся деньги.
Забывают они и о цифровых магазинах, как тот же Steam или PS Store. Не думают об оплаченной подписке на музыкальный сервис Apple Music, Spotify или «Play Музыку». Или ModnaKasta Black с Rozetka Premium, которые удешевляют или делают бесплатной доставку.
Uber, доставка продуктов, накопления по программе лояльности в «Сильпо», NOVUS и Fishka. Все эти сервисы дают доступ к деньгам пользователя. Напрямую или косвенно, к реальным подключённым карточкам или накопленным баллам, «сдаче на карту» и так далее.
Небольшие деньги — тоже деньги. Не считая того, насколько проблематично будет очистить аккаунт от таких нахлебников, не регистрируясь заново.
Другие данные и личность
Даже если в сервисе не хранятся критичные на первый взгляд данные, могут быть проблемы. Например, учетная запись в интернет-магазине почти всегда сохраняет адрес доставки. Так можно узнать, где точно живёт владелец аккаунта.
Аналогичный перебор с тем же логином (почтой) помог найти аккаунт человека в Instagram или Facebook. Но даже если в саму соцсеть зайти не удалось (пароль другой), можно просто следить, когда жертва выложит снимки из отпуска. Это сильно повысит шансы на то, что в квартире, адрес которой нашёлся в интернет-магазине, никого нет. А значит можно навести на нее воров или обчистить самостоятельно.
Номер телефона, семейное положение, имена и даты рождения родственников — анкетники на сайтах хотят собрать любые сведения для лучшего таргетинга рекламы. И тут вступает в силу социальный инжиниринг. Например, злоумышленник попал в аккаунт Google Photos, подфотошопил маму-брата-дочь-внука и выманивает несколько тысяч гривен, «иначе будет беда».
Или притворится сотрудником банка, который «знает слишком много», чтобы оказаться случайным прохожим. Остальное человек и сам расскажет. И с более полным набором информации можно звонить в поддержку банка, чтобы попытаться провести «срочный платеж».
В соцсетях потерять аккаунт не пугает? Мол, «ничего, заведу новый»? Человек с доступом к учётке от вашего имени может написать кому угодно что угодно. А потом нотариально заверит скриншоты и пойдет в суд. Или уговорит доверчивых друзей и родственников скинуть денег.
Телефон
Телефон 2018 года — это средство с надежными инструментами защиты. Данные шифруются сложнейшими ключами, трафик защищается браузером, не говоря о фирменных инструментах. И как этим пользуются люди? Они не ставят пароль.
Если взять телефон без пароля, можно: перевести деньги со счета телефона, заказать Uber с оплатой по безналу или оформить заказ в десятках других сервисов от доставки еды до интернет-магазина, где подключена карточка. Узнать номера телефонов важных людей, выяснить личные подробности из фотографий рентгена или заключений врача в галерее, пообщаться от имени владельца в соцсетях или SMS.
Пароль на экран блокировки надо устанавливать всем и каждому. Разблокированный телефон не только даёт удобных доступ ко всем данным, упомянутым выше. Он позволит подтвердить банковскую операцию, ведь код проверки придёт в SMS.
Сканер отпечатка устанавливается даже в самые дешевые аппараты, он сделает наличие пароля минимально неудобным. Почти таким же, как если этого пароля нет. Даже распознавание по лицу через камеру хорошо защитит телефон. Именно такие простые вещи станут полезными и достаточными для защиты данных людей, которым «нечего скрывать».
Главная ошибка
Первая и главная ошибка — считать, что вам нечего скрывать. Позиция «я никому не нужен» стимулирует злоумышленников обрабатывать таких беспечных граждан. Они не берут качеством, а довольствуются количеством.
Если на 30 тыс. жертв хотя бы 300 человек переведут 100 грн за возврат аккаунта, получится больше 1000 долларов дохода. Еще у сотни будет подписка на Netflix и Apple Music, аккаунты выкупят по доллару-два любители сэкономить. Пусть 20 учеток обеспечат возможность раз-два бесплатно проехаться на Uber, это еще 3-5 долларов за каждый.
1500 долларов за просто перебор 30 тыс. аккаунтов — неплохие деньги. А есть те, кто хранит более ценные данные. И сервисы теряют аккаунты не десятками тысяч, а миллионами за раз. Со всех таких «я никому не нужен» можно собрать на дом и безбедную старость.
Места утечки
Говорить об очевидных анкетах в магазинах, которые кто-то потом руками переносит в табличку Excel, не приходится. Это тоже место риска, но влияние таких утечек минимальное. Обычно трусит гигантов.
Некогда самой популярной соцсетью на территории Украины был «ВКонтакте». Оттуда, возможно, утекли 100 млн аккаунтов. Было это всего три года назад. Сколько вашему самому старому паролю, который до сих пор где-нибудь используется?
А знаете, что базы часто пускают в оборот не сразу, а через 5-6 лет после реальной утечки? Так было с Yahoo и тремя миллиардами учёток. Twitter как-то налажал с хранением паролей, из-за чего поставил под угрозу каждого своего пользователя.
Недавно хакеры попробовали подобрать пароли пользователей техники Apple. Сколько людей потеряли доступ к купленным программам, телефонной книге и календарю, неизвестно. Но именно это случилось с каждым, в чей аккаунт злоумышленники смогли зайти.
Вне зависимости от надежности и размеров сервиса, данные могут утечь. Нельзя забывать и о привычках: пароль лучше не привязывать к домашнему адресу или важной дате. И тем более надо избегать таких паролей.
Взлом
Не игронирируйте письма от сервисов, когда рекомендуется поменять пароль. Также проверьте, нет ли вашего почтового ящика в базе сайта haveibeenpwned.com. Этому ресурсу можно доверять, но его база включает только известные случаи утечек. Если почта в базе не обнаружилась, это повышает шансы, что ваши данные в безопасности. Но 100-процентную гарантию все равно не даёт.
Главный враг регистрации в любом сервисе — один пароль на любом сайте. Никогда, ни при каких обстоятельствах не используйте одинаковые пароли на разных ресурсах.
Большинство простейших взломов происходит так:
Какой-нибудь сервис теряет внушительную базу логинов и паролей.Злоумышленник покупает эту базу за копейки и пробует пару логин-пароль на разных ресурсах.Аккаунт переходит в руки злоумышленника со всеми данными.
Разные пароли защитят от большей части атак методом подбора. Не лишним для этого использовать сложные пароли. Такие умеют генерировать специальные программы.
Менеджеры паролей
Когда пароли от сомнительного форума, который допустил утечку данных, и Uber, Netflix, «Сильпо» не совпадают, это отлично. Такой пользователь уже защищеннее большинства в интернете. Запоминать десятки комбинаций, по одной на каждый сайт и сервис, не приходится благодаря менеджерам паролей.
iCloud Keychain, а также мультиплатформенные 1Password, LastPass и другие созданы специально для обеспечения удобства и безопасности. Это как персональная база данных с паролями с повышенной защитой. И помнить их уже необязательно.
Пароли и логины в современных аппаратах даже копировать-вставлять не придется. Автоподстановка работает отлично.
Останется только подтверждать ввод сканером отпечатка или мастер-паролем (он обязательно должен не использоваться ни в каких других местах).
Кстати, такие сервисы могут не только хранить пароли засекреченными, но и генерировать сложные комбинации. Это отличный повод отойти от схемы «одинаковый пароль с отличающейся последней буквой для каждого сервиса». Там пароли предлагаются по-настоящему сложные:
Двухфакторная/двухэтапная аутентификация
Вторым массово доступным и отличным способом защититься будет двухфакторная аутентификация. Это такой способ проверки, когда придется ввести не только пароль, но и дополнительный код. Как при логине в банковское приложение, например, приходит SMS с паролем — это тот самый «второй фактор».
Хотя такая защита по SMS лучше, чем просто пароль, специальное приложение использовать эффективнее и удобнее. К таким относятся Google Authenticator (iOS,Android), Authy (iOS,Android), Microsoft Authenticator (iOS,Android) и десятки других. Двухфакторная аутентификация включается в настройках безопасности, она есть в большинстве массовых сервисов.
В Google надо перейти в аккаунт, на панели навигации выбрать «Безопасность», а в разделе «вход в аккаунт Google» нажать «Двухэтапная аутентификация». В вариантах выбрать «Приложение», если все-таки решили ставить дополнительную программу, а дальше следовать инструкциям.
Из преимуществ отдельного приложения: защита от подмены SIM-карты и перехвата данных, не нужна связь или доступ к интернету (коды автоматически генерируются прямо в телефоне).
Другая защита
Разные пароли для каждого сервиса, их менеджер и двухфакторная аутентификация станут отличной защитой. Также всегда устанавливайте обновления на компьютеры и смартфоны.
Пройдитесь по настройкам приватности в Facebook, Twitter и других сервисах, где есть такая опция. Отключите лишнее. То же самое сделайте в «разрешениях» на смартфоне. Вряд ли всем мобильным играм нужен доступ к SMS и совершению звонков (особенно актуально для Android).
Пройдитесь по каждому пункту страницы о безопасности в своём Google-аккаунте. Большинству этого будет достаточно.
Усилить приватность данных можно с помощью VPN, браузеров с акцентом на анонимность (Firefox, Safari, Tor) и такими же почтовыми клиентами (FastMail, ProtonMail). Поисковая система DuckDuckGo тоже не следит за пользователями. Специализированные мессенджеры помогают сохранить персональные данные. Но такие меры нужны не читателям этой статьи.
Поставьте пароль на телефон. Установите менеджер паролей или воспользуйтесь встроенным в систему. Поменяйте все пароли на уникальные. И расскажите знакомым и родственникам о мерах защиты. Тогда получится с максимальным комфортом пользоваться благами интернета и значительно меньше рисковать собственными данными и личными средствами.