В цифровом мире каждый человек подвергается угрозам ежесекундно. Киберпреступники давно перестали охотиться на отдельных пользователей. Сегодня атаки совершаются на целые сервисы и крупные информационные системы. И их жертвами становятся все без исключения.
Мошенники из «Службы безопасности Сбербанка» ежедневно обзванивают тысячи пользователей, большинство из которых давно знают, что имеют дело с преступниками. Но, тем не менее, попытки поиска жертв не прекращаются. Ведь в тысяча первом случае телефонные бандиты смогут дозвониться «клиенту», который еще не слышал о телефонном мошенничестве.
То же самое происходит и в цифровой среде. Более того, атаки на пользователей здесь и проще, и быстрее.
Самым уязвимым местом пользователей остаются пароли, которые можно подобрать или украсть, и электронная почта, по которой отправляются миллионы мошеннических писем. Мы расскажем, как обезопасить себя от хакерских атак, в которых используются эти каналы нападения.
Что нужно знать о паролях
Основа информационной безопасности – пароли. За ними охотятся злоумышленники, их продают на биржах в даркнете, их постоянно пытаются взломать. И они остаются самым слабым элементом защиты от хакеров. Потому что, несмотря на то, что мы научились создавать пароли, которые трудно угадать человеку, это ничего не стоит машине. Сравним два пароля: ErTlOibv и °bYt23zK6_. Второй – в 100000 раз (буквально!) сложнее, и только за счет того, что помимо букв в нем используются цифры и специальные символы.
Сгенерированные случайные пароли, которые содержат специальные знаки, наиболее надежны. Например, практически невозможно будет взломать такой: °)Yt23zK6_M2KAuu!g0,*AcV94. Запомнить его практически невозможно, и, если вы не доверяете записным книжкам и предпочитаете держать пароли в голове, то можно использовать случайные слова в сочетании со специальными знаками. Например: Staples__Shoes;;Nails.
Но нужно учитывать, что варианты, в которых содержатся даты рождения, номера документов, имена любимых артистов заведомо слабы. Примеры слабых паролей: ohn-210375, Football Team, M@NCH3ST3R, |-|@CK3r. Обратите внимание: все они, к тому же, содержат менее 9 символов. И уж совсем слабым будет пароль, в котором содержатся слова и цифры, которые имеют к вам прямое отношение (номера документов, почтовые индексы, адреса и т.п.). Например: PAUL NATHALIE LEA или В533ОМ177.
Хорошая новость в том, что создавать надежные пароли просто. Для этого лучше всего использовать менеджеры. Они предлагают сочетания, которые невозможно запомнить человеку и очень трудно подобрать специальному программному обеспечению. Из числа самых популярных сервисов можно порекомендовать Lastpass, Bitwarden, 1password или Keepass, – они считаются сегодня наиболее безопасными.
Можно воспользоваться функцией генерации паролей в браузере. Они не столь надежны, но вполне подойдут для аккаунтов на различных веб-сайтах.
В любом случае, недостаточно придумать самый сложный пароль. Необходимо еще и регулярно проверять, не был ли он украден во время хакерской атаки или инцидента, связанного с утечкой данных. Сделать это можно при помощи сервиса https://haveibeenpwned.com. Он, кроме того, предупредит вас, если такая кража случится. В качестве альтернативы можно порекомендовать сервис проверки паролей Google.
Какими бывают безопасные пароли
Если по каким-то причинам вы не можете воспользоваться менеджером паролей, то есть простой способ придумать вариант, который будет и запоминаем, и сложен для взлома.
Основное правило: используйте в пароле 9 и более знаков и обязательно специальные символы. Некоторые сервисы могут не допускать использование некоторых таких элементов. Не беда, просто замените их другими.
Пароли, которые придумываются самим человеком, можно разделить на четыре группы.
Первая – «базовые», которые допустимо использовать для аккаунтов на сайтах и сервисах, где не хранятся важные данные и не совершаются финансовые транзакции.
Вторая – «важные», они используются для аккаунтов на сайтах, где вводится важная для вас информация и совершаются платежи.
Третья группа – «профессиональные» пароли, их вы используете для доступа к корпоративным информационным системам.
И, наконец, четвертая группа – пароли «самые важные». Они применяются для защиты банковских аккаунтов, криптокошельков, важнейших интернет-сервисов (например, для аккаунта на «Госуслугах»). Внимание: вводить такие пароли можно только в том случае, если соединение осуществляется по защищенным протоколам, таким как SSL.
Как самостоятельно придумать надежный пароль
Для создания «базового» пароля можно выбрать известное вам корневое слово, добавить к нему несколько символов и название сайта, на котором он используется. Пример такого пароля – DireStraits_=_woodbrass, он содержит название любимой рок-группы и название сайта, разделенные специальными символами.
Того же принципа придерживаемся и при создании «важного» пароля, но усложняем конструкцию: меняем местами корневое слово и название сайта. Например: Amazon/-\R0llingSt0nes.
Корневое слово можно применять и для «профессиональных» паролей, но в них оно должно быть иным. Например, пароль DireStraits(°)Compta использует название любимой группы, название сайта, на котором у пользователя есть часто используемый аккаунт, и специальный символ в верхнем регистре.
А вот для «самых важных» паролей лучше использовать не набор сочетаний слов и символов, а целые фразы. Например, «A sentence is better than a password». Еще надежнее будет так: «@ sentence is better than a password».
Эти простые принципы позволят вам:
- никогда не использовать на разных сайтах и сервисах одинаковые пароли;
- применять только те пароли, которые трудно подобрать;
- создавать пароли, конструкция которых будет учитывать требования, которые существуют у большинства систем;
- не забыть придуманный пароль, при этом вам не придется запоминать десятки разных вариантов;
- заменить пароль на новый, просто поменяв корневое слово.
Предложенный способ создания паролей не идеален, но применять его – гораздо лучше, чем использовать один и тот же пароль для десятков разных аккаунтов. Ведь если один из них будет взломан или украден, то хакер наверняка попытается использовать его для доступа к разным вашим аккаунтам, в том числе критически важным. Кроме того, не исключен вариант, когда пароль будет использоваться для автоматической идентификации скомпрометированных учетных записей с вашим именем.
Как обезопасить себя от угроз через email
Электронная почта – еще один источник опасностей, которые грозят всем пользователям. Чтобы не стать жертвой киберпреступников, необходимо соблюдать несколько простых правил.
- Всегда проверяйте отправителя и не открывайте письма, поступившие с незнакомых адресов.
- Тем более нельзя открывать файлы, пересылаемые неизвестными отправителями. То же самое касается ссылок, которые содержатся в таких письмах, даже если URL-адрес выглядит вполне безопасно.
- Никогда не выполняйте требований срочно совершить какие-то действия. Каким бы угрожающим не было послание, выдохните и подумайте: а можно ли вас будет обвинить в том, что вы не сделали этого немедленно.
Электронная почта часто используется мошенниками, которые рассылают «фишинговые» письма. Это название появилось из-за того, что они буквально ловят своих жертв, используя приманки, – так, как рыбак ловит рыбу, предлагая ей вкусного червячка, которого невозможно не проглотить. Помните: электронная почта – средство личного общения, а оно остается привилегией знакомых вам лично людей. И при малейшем сомнении проверяйте, знаете ли вы отправителя письма.
Сделать это несложно. Прежде всего, обратите внимание на подпись отправителя. Нет ли в ней нехарактерных ошибок, не используются ли посторонние символы, нет ли в ней лишних пробелов, корректно ли написан обратный адрес. Наконец, не отличается стиль письма от того, который используется в других письмах этого корреспондента.
Договоритесь с вашим ближайшим окружением об использовании «страхового» слова или словосочетания, которое можно уточнить при возникновении подозрений. Конечно, такое слово должны знать только те, с кем вы договариваетесь. Можно даже договориться о том, чтобы вставлять такое слово в текст письма. Например, выражение «Не могу дождаться нашей следующей встречи в баре» может означать, что на вашего корреспондента оказывается давление, и написанному им верить нельзя.
Наконец, не пересылайте электронной почтой конфиденциальную информацию. Разместите ее в защищенном хранилище, к которому имеет доступ ваш корреспондент, отдельным файлом.
Все это – не самые сложные принципы, использование которых поможет вам предотвратить атаку хакеров или мошенников. Помните, что их жертвой может стать не только крупная и богатая корпорация, но и любой человек. Преступники не имеют принципов и не погнушаются даже малой добычей, если получить ее просто. Вскрыть при помощи программы-переборщика пароль от онлайн-банка или отправить фишинговое письмо – дело нескольких секунд.
Берегите себя и свои тайны!