Постійно в новинах повідомляють про нечувані злами і крадіжки особистих даних. Поштові скриньки, сторінки у соцмережах, паролі підбирають на мільярди особистих екаунтів. Але є декілька простих способів, як захистити себе, пише Tehnot.
Послуги
Ваш екаунт – це ключ, він дає можливість користуватися відеосервісами як-от YouTube Premium, Netflix і Megogo.
Також ми реєструємося через нього у магазинах, як той же Steam або PS Store. Не забувайте про музичні сервіси Apple Music, Spotify або “Play Музику”. Або ModnaKasta Black з Rozetka Premium, які здешевлюють чи роблять безкоштовною доставку.
Uber, доставка продуктів, накопичення за програмою лояльності в “Сільпо”, NOVUS і Fishka. Всі ці сервіси дають доступ до грошей користувача. Безпосередньо або опосередковано, до реальних підключених карток або накопичених балів, “здачі на карту” і так далі.
Невеликі гроші — теж гроші.
Не конфіденційні дані варто оберігати
Навіть якщо в сервісі не зберігаються критичні на перший погляд дані, можуть бути проблеми. Наприклад, обліковий запис в інтернет-магазині майже завжди зберігає адресу доставки. Так можна дізнатися, де точно живе власник екаунта.
Аналогічний перебір з тим же логіном (поштою) допоміг знайти екаунт людини в Instagram або Facebook. Але навіть якщо в саму соцмережу зайти не вдалося (пароль інший), можна просто стежити, коли жертва викладе знімки з відпустки. Це сильно підвищить шанси на те, що в квартирі, адреса якої знайшлася в інтернет-магазині, нікого немає. А тому можна навести на неї злодіїв або обчистити самостійно.
Номер телефону, сімейний стан, імена і дати народження родичів — анкети на сайтах хочуть зібрати будь-які відомості для кращого орієнтування реклами. Наприклад, зловмисник потрапляє в екаунт Google Photos, підфотошоплює маму-брата-дочку-онука і виманює кілька тисяч гривень.
Або прикинеться співробітником банку, який “знає занадто багато”, щоб опинитися випадковим перехожим. Решту людина і сама розповість. І з більш повним набором інформації можна дзвонити в підтримку банку, щоб спробувати провести “терміновий платіж”.
Ваш смартфон
Сьогодні телефон — це засіб з надійними інструментами захисту. Дані шифруються найскладнішими ключами, трафік захищається браузером, не кажучи про фірмові інструменти. Але багато хто навіть не використовує пароль.
Якщо взяти телефон без пароля, можна: перевести гроші з рахунку телефона, замовити Uber з оплатою без готівки або оформити замовлення в десятках інших сервісів від доставки їжі до інтернет-магазину, де підключена картка. Дізнатися номера телефонів важливих людей, з’ясувати особисті подробиці з фотографій рентгена або висновків лікаря в галереї, поспілкуватися від імені власника в соцмережах або SMS.
Пароль на екран блокування треба встановлювати всім і кожному. Розблокований телефон не тільки дає зручний доступ до всіх даних, згаданих вище. Він дозволить підтвердити банківську операцію, адже код перевірки прийде в SMS.
Сканер відбитка встановлюється навіть в найдешевші апарати, він зробить наявність пароля мінімально незручним. Майже таким зручним, як без нього. Навіть розпізнавання по обличчю через камеру добре захистить телефон. Саме такі прості речі стануть корисними і достатніми для захисту даних людей.
Перша помилка
Перша і головна помилка — вважати, що у вас немає чого вкрасти. Зловмисники усе: якщо не якістю, то кількістю.
Якщо на 30 тис. жертв хоча б 300 осіб переведуть 100 гривень за повернення екаунта, вийде більше 1000 доларів доходу. Ще у сотні буде підписка на Netflix і Apple Music, екаунти викуплять по долару-два любителі заощадити.
1500 доларів за просто перебір 30 тис. екаунтів — непогані гроші.
Місця, де крадуть Ваші дані
Колись найпопулярнішою соцмережею на території України був “ВКонтакте”. Звідти, можливо, витекли 100 млн екаунтів. Було це всього три роки тому. Скільки вашому найстарішому паролю, який досі десь використовується?
А знаєте, що бази часто пускають в обіг не відразу, а через 5-6 років після реального витоку? Так було з Yahoo і трьома мільярдами облікових записів. Twitter якось зробив помилку зі зберіганням паролів, через що поставив під загрозу кожного свого користувача.
Нещодавно хакери спробували підібрати паролі користувачів техніки Apple. Скільки людей втратили доступ до куплених програм, телефонної книги і календаря, невідомо. Але саме це сталося з кожним, в чий екаунт зловмисники змогли зайти.
Незалежно від надійності і розмірів сервісу, дані можуть витекти. Не можна забувати і про звички: пароль краще не прив’язувати до домашньої адреси або важливої дати. І тим більше треба уникати таких паролів.
Злам
Не ігноруйте листи від сервісів, коли рекомендується поміняти пароль. Також перевірте, чи немає вашої поштової скриньки в базі сайту haveibeenpwned.com. Цьому ресурсу можна довіряти, але його база включає тільки відомі випадки витоків. Якщо пошта в базі не знайшлася, це підвищує шанси, що ваші дані в безпеці. Але 100-відсоткову гарантію все одно не дає.
Головний ворог реєстрації в будь-якому сервісі — один пароль на різні сайти.
Більшість найпростіших зломів відбувається так:
- Якийсь сервіс втрачає значну базу логінів і паролів.
- Зловмисник купує цю базу за копійки і пробує пару логін-пароль на різних ресурсах.
- Екаунт переходить в руки зловмисника з усіма даними.
Менеджери паролів
Коли паролі від сумнівного форуму, який допустив витік даних, і Uber, Netflix, “Сільпо” не збігаються, це відмінно. Такий користувач вже захищений краще за більшість в Інтернеті. Запам’ятовувати десятки комбінацій, по одній на кожен сайт і сервіс, не доводиться завдяки менеджерам паролів.
iCloud Keychain, а також мультиплатформні 1Password, LastPass створені спеціально для забезпечення зручності та безпеки. Це як персональна база даних з паролями з підвищеним захистом. І пам’ятати їх вже необов’язково.
Паролі та логіни в сучасних апаратах навіть копіювати-вставляти не доведеться. Автопідстановка працює відмінно.
Залишиться тільки підтверджувати введення сканером відбитка або майстер-паролем (він обов’язково повинен не використовуватися в жодному іншому місці).
До речі, такі сервіси можуть не тільки зберігати паролі засекреченими, а й генерувати складні комбінації. Це відмінний привід відійти від схеми “однаковий пароль з відмінною останньою буквою для кожного сервісу”. Там паролі пропонуються по-справжньому складні.
Інший захист
Другим масово доступним і відмінним способом захиститися буде двофакторна аутентифікація. Це такий спосіб перевірки, коли доведеться ввести не тільки пароль, але і додатковий код. Як при логіні в банківський додаток, наприклад, приходить SMS з паролем — це той самий “другий фактор”.
Хоча такий захист по SMS — краще за просто пароль, спеціальний додаток використовувати ефективніше і зручніше. До таких відносяться Google Authenticator (iOS, Android), Authy (iOS, Android), Microsoft Authenticator (iOS, Android) і десятки інших. Двофакторна аутентифікація вмикається в налаштуваннях безпеки, вона є в більшості масових сервісах.
Вже зараз пройдіться по налаштуваннях приватності в Facebook, Twitter та інших сервісах, де є така опція. Вимкніть зайве. Те ж саме зробіть у “дозволах” на смартфоні. Навряд чи всім мобільним іграм потрібен доступ до SMS і здійснення дзвінків (особливо актуально для Android).
Пройдіться по кожному пункту сторінки про безпеку в своєму Google-екаунті. Більшості цього буде достатньо.
Посилити приватність даних можна за допомогою VPN, браузерів з акцентом на анонімність (Firefox, Safari, Tor) і такими ж поштовими клієнтами (FastMail, ProtonMail). Пошукова система DuckDuckGo теж не стежить за користувачами. Спеціалізовані месенджери допомагають зберегти персональні дані. Але такі заходи потрібні не читачам цієї статті.
Поставте пароль на телефон. Встановіть менеджер паролів або скористайтеся вбудованим в систему. Поміняйте всі паролі на унікальні. І розкажіть знайомим і родичам про заходи захисту.