11 сентября 2018 года в Internews Таджикистан состоялся мастер-класс по основам защиты персональных данных от фишинга. Мастер-класс провел Артем Тарасов, IT-координатор в Internews-Кыргызстан. Предлагаю вашему вниманию выдержки из его выступления с некоторыми собственными комментариями.
Фишинг (англ. «рыбалка», «ловля рыбы») подразумевает действия злоумышленников по «выуживанию» у потенциальной жертвы личных данных — логины и пароли от аккаунтов, номера банковских карточек, паспортные данные.
Зачастую это осуществляется через подделку интерфейса известных ресурсов, чтобы жертва собственноручно ввела свои данные в нужные поля на веб-странице, не заметив подмены. За пару часов специалист по верстке дизайна страниц может подделать интерфейс главной страницы соцсети, куда пользователь, попав, введет свои логин и пароль. Далее они будут отправлены в базу данных злоумышленника.
URL-адреса таких страниц могут отличаться от адресов известных ресурсов лишь на 1-2 символа — faceboook вместо facebook или odnoklasniki.ru вместо odnoklassniki.ru — и невнимательный интернет-пользователь с первого взгляда даже не поймет, что находится на фейковой странице.
Часто фишинг проводится также по электронной почте или мессенджерам в виде «письма счастья», ссылки на непонятное видео или просьбы дать своё согласие на перевод вам многомиллионного наследства от умершего в Европе неизвестного родственника. Следует быть бдительными.
Фишинг можно разделить на два вида:
- Массовый — направленный на случайного пользователя, который может попасться на «удочку».
- Персональный — направленный на конкретного пользователя. Для этого могут создаваться подставные страницы, куда жертва должна ввести логины и пароли. Доступ к аккаунту может открыть возможность использования ресурсов, с аккаунтом связанных. Зачастую этот тип фишинга направлен на взлом корпоративных сетей, и человек, к аккаунту которого хотят получить доступ, становится орудием для взлома целой сети.
Часто фишинг, независимо от вида, подразумевает отправку пользователям ссылки, переход по которой может быть опасным для вашего компьютера — вы рискуете заразить браузер вирусами. Вирусы могут менять настройки браузера, автоматически закачивать на компьютер файлы. Скачать завирусованный файл ‑ не проблема. Проблемы начнутся, когда пользователь откроет его/запустит на своем компьютере.
Главная защита ‑ бдительность и внимательность. Следует обратить внимание, от кого пришло письмо; как почтовый сервис отсортировал письмо — Gmail часто сортирует подозрительные письма в папку «Спам». Обратите внимание на правильность написания адреса почтового домена отправителя или домена открывшегося сайта.
Существуют также некоторые онлайн-ресурсы, которые помогут вам защититься от вирусов. Если у вас на компьютере нет антивируса, то использование онлайн-сервиса virustotal.com может стать выходом из ситуации. Его разработчики уверяют, что virustotal.com владеет самыми свежими базами данных сигнатур вирусов и способен определить, заражен ли загруженный файл или нет.
Для этого следует указать ссылку на файл или непосредственно загрузить его на этот ресурс для проверки. Кроме файлов virustotal.com может проверять на наличие вирусов целый сайт. Однако стоит принимать во внимание, что ресурс не умеет проверять укороченные ссылки. Такие ресурсы как goo.gl или bit.ly укорачивают длинные ссылки и, чтобы проверить их на зараженность вирусами, следует их «распаковать».
Для возвращения коротким ссылкам первоначального вида помогает онлайн-ресурс unfurlr.com. Поэтому, если вам прислали укороченную ссылку и, прежде чем перейти по ней, вы хотите проверить целевой сайт/веб-страницу на вирусы, то сначала следует вставить эту ссылку в сервис unfurlr.com, а уже потом проверить выданную этим сервисом ссылку на сайте virustotal.com.
Для защиты персональных данных не лишним будет также включение двухфакторной аутентификации — подтверждение личности при входе в аккаунт в два шага — ввод логина и пароля (шаг первый), а затем ввод кода, который был выслан через СМС, телефонный звонок, на резервный e-mail или специальное приложение (шаг второй).
Однако и тут есть свои нюансы. Двухфакторная аутентификация через СМС не может быть серьезным решением проблемы, поскольку при наличии специального оборудования СМС могут быть перехвачены и попросту не дойти до вас. Другая проблема ‑ роуминг, который работает не везде или с перебоями. Решение проблемы на примере почты Gmail является использование приложения Google Authenticator.
Для более широкой защиты персональных данных рекомендуется также использовать режим инкогнито в браузере (CTRL + SHIFT + N) с параллельным использованием VPN-сервисов. При выборе VPN-сервиса следует обратить внимание на репутацию. Наиболее доверенными являются платные VPN, такие как NordVPN. Бесплатные ресурсы данной категории сами могут быть опасными и, вместо защиты своих данных, вы собственноручно «сольёте» их злоумышленникам.
При использовании обычного режима интернет-сёрфинга не лишним будет чистка истории просмотров. Несмотря на удобство также не рекомендуется хранить логины и пароли в памяти браузера. Однако это не всегда удобно, поэтому, если вы всё же решили сохранять свои логины и пароли в памяти браузера, то:
- Сохраняйте в памяти браузера логины и пароли только от тех сервисов, в которых нет данных, компрометирующих вас. Даже если кто-то получит доступ к таким аккаунтам, он не сможет использовать эти данные против вас. Не сохраняйте в своих аккаунтах информацию, которая потенциально может быть использована против вас.
- Не давайте никому доступа к вашему компьютеру. Это может быть опасно заражением компьютера вирусами, способными незаметно от вас отправить ваши личные данные злоумышленникам. Я на личном опыте несколько раз сталкивался с ситуациями, когда участники тренингов просили скинуть им на флешки презентации или раздаточные материалы. В результате только от присоединения и открытия их карт памяти мой компьютер заражался вирусами.
Приходилось переустанавливать операционную систему, и это — одна из причин, почему я сменил ОС на своём компьютере с Windows на Linux. Еще большую угрозу представляют файлы, которые скидывают вам — под видом обычного документа MS Word или презентации MS Power Point может скрываться программа, которая заразит компьютер троянскими вирусами. Не говоря уже о запуске программ на личном компьютере.
Например, бесплатная портабельная программа ChromePass, которая не нуждается в установке и может запускаться прямо с флешки, менее чем за секунду скачает себе все логины и пароли, сохраненные в вашем браузере Chrome. Есть аналогичные программы, которые работают под другие популярные браузеры. Избежать использования USB-накопителей можно, передавая файлы через электронную почту или облачные хранилища (Google Drive или Яндекс.Диск), которые зачастую проводят базовую проверку на вирусы.
В заключение можно посоветовать также использование менеджеров паролей, таких как LastPass или KeePass, которые помогают хранить ваши пароли или генерировать новые сложные пароли, чтобы их труднее было подобрать.
Достаточно распространены также советы по созданию паролей путем использования первых/последних букв в словах любимого стихотворения или замены привычных букв в легкой для запоминания фразах на непривычные символы. Например из фразы «happy new year» может получиться такой пароль «HaPP4n3w43ar».
Выбор остается за вами. Активным пользователям смартфонов стоит быть внимательными при установке различных приложений, анализировать, какие разрешения приложение просит дать. Если игра просит предоставить доступ к списку контактов или микрофону и камере, тогда как они никак в ходе игры не используются, то это уже подозрительно. Это также актуально для различных приложений и расширений, используемых в социальных сетях.
Особо сенситивные файлы можно хранить на внешних носителях или облачных хранилищах, зарегистрированных на отдельных аккаунтах, а не рабочих, чтобы вы обращались к ним только в случае необходимости и доступ к которым был только у вас.
Несмотря на наличие угроз сохранности персональных данных не следует в панике удалять аккаунты в соцсетях или сервисах Google. При правильном подходе использование онлайн-сервисов безопасно.