Дослідник з кібербезпеки нещодавно виявив незахищену онлайн-базу даних зі 149 мільйонами вкрадених облікових записів. Джеремайя Фаулер повідомляє, що база даних була доступна в мережі без парольного захисту чи шифрування. Вона містила 149 404 754 унікальних логінів та паролів загальним обсягом 96GB даних облікових записів.

Що містила база даних

База даних включала мільйони унікальних логінів для акаунтів Gmail, Facebook, Instagram, Yahoo та Netflix. За словами Фаулера, у обмеженій вибірці записів, яку він переглянув, також з’явилися облікові записи фінансових сервісів, крипто-гаманців, торгових платформ, банківські логіни та дані кредитних карток.

Найбільш тривожним є те, що дослідник підозрює: хакер створив цю базу даних для зберігання інформації, вкраденої через шкідливе ПЗ. Такі інфекції можуть непомітно працювати на комп’ютерах жертв, крадучи паролі з полів входу або записуючи натискання клавіш.

Структура та масштаб загрози

База даних була структурована таким чином, щоб полегшити пошук інформації за жертвою та джерелом. Фаулер зазначає один тривожний факт: кількість записів збільшувалася з моменту виявлення бази даних до її блокування та зникнення з відкритого доступу.

Дослідник не зміг підтвердити, чи належала база даних кіберзлочинцю, чи іншому дослідникові. Щоб захистити користувачів, він звернувся до хостинг-провайдера бази даних з вимогою її видалення. За його словами, знадобилося майже місяць та кілька спроб, перш ніж нарешті було вжито заходів, хостинг призупинено, а мільйони вкрадених облікових даних стали недоступними.

Наслідки витоку

Проте таємничий творець бази даних та будь-хто інший, хто отримав до неї доступ, все ще можуть мати копію вкрадених облікових даних. “Переведення набору даних в офлайн нічого не робить для вирішення основної проблеми, а саме того, що багато з цих облікових даних залишаються дійсними та довіреними ще довго після їх крадіжки”, — каже Шейн Барні, головний директор з інформаційної безпеки в Keeper Security.

Ця знахідка підкреслює загрозу malware та те, як кіберзлочинці часто експлуатують вкрадену інформацію для здійснення подальших атак. Фаулер зазначає, що база даних також містила логіни для доменів .gov з численних країн. Скомпрометовані урядові облікові дані потенційно можуть використовуватися для цільового фішингу, видавання себе за інших або як точка входу в урядові мережі.

Рекомендації щодо захисту

Фаулер рекомендує користувачам використовувати антивірусний захист на своїх комп’ютерах, підтримувати операційні системи в актуальному стані та встановлювати додатки лише з перевірених джерел. Також варто регулярно змінювати паролі та використовувати двофакторну автентифікацію для всіх важливих облікових записів.

Ця стаття База з 149 мільйонами вкрадених паролів показала масштаб шкідливого ПЗ раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Ви перейшли на новий браузер, але не видалили старий? Ваш старий браузер все ще містить паролі та іншу конфіденційну інформацію, яку хакери відчайдушно намагаються викрасти. Замість того, щоб залишати старий браузер як додаткову точку атаки, вам слід видалити збережені паролі – не хвилюйтеся, це займе лише хвилину.

Чому варто видаляти паролі зі старих браузерів?

Коли справа доходить до управління паролями, браузери надають перевагу зручності, а не безпеці. Вони зберігають зашифровані паролі та ключі до них у передбачуваних місцях, а це означає, що будь-яке шкідливе програмне забезпечення може вкрасти ваші паролі в одну мить. А якщо хакеру вдасться зламати обліковий запис Google, Microsoft або Firefox, пов’язаний з вашим браузером, він зможе отримати ваші паролі, не торкаючись вашого комп’ютера або телефону. Якщо ви залишите свій обліковий запис у браузері на чужому комп’ютері, це також може призвести до неприємностей.

Читайте також: Як перевірити, чи безпечний пароль?

Оскільки браузери не можуть належним чином захистити ваші паролі, вам потрібно видалити паролі з браузерів, якими ви не користуєтеся. Можливо, ви перейшли з Chrome на Firefox – ви не видалили паролі з Chrome, тому тепер у вас є дві копії ваших паролів, які зберігаються на вашому комп’ютері та в хмарі. Замість одного вразливого місця у вас з’явилося два.

Зверніть увагу, що ця інформація також стосується номерів кредитних карток, адрес та іншої особистої інформації, яка може бути збережена в системі автозаповнення вашого браузера.

Читайте також

Менеджер паролів Bitwarden атаковано через ланцюжок постачання: npm-пакет містив шкідливий код

Google випустила десктопний застосунок для Windows: як він змінює роботу з пошуком і особистими даними

Понад 100 шкідливих розширень Chrome крадуть акаунти Google та Telegram

Операція Pushpaganda: як ШІ-контент і push-сповіщення перетворили Google Discover на інструмент шахраїв

Google Chrome 146 отримав захист від викрадення сесійних cookie через прив’язку до апаратного забезпечення

Як видалити збережені паролі з браузера

Видалення збережених паролів з браузера займе у вас лише кілька хвилин. Вам не потрібно видаляти старий браузер або видаляти купу файлів з жорсткого диска – насправді, для цього потрібно, щоб браузер був встановлений. Проблема, звичайно, полягає в тому, що кожен браузер унікальний, тому процес видалення може дещо відрізнятися. (Якщо ви ще не зробили цього, будь ласка, не забудьте експортувати паролі зі старого браузера, перш ніж видалити їх назавжди).

Ось як видалити збережені паролі з найпопулярніших браузерів.

Chrome

В браузері від Google є вбудований Менеджер паролів. Якщо ви хочете повністю позбавити IT-гіганта доступу до ваших паролів, вам необхідно видалити всі дані з менеджера паролів. Ось як це зробити:

1. Відкрийте браузер Chrome на своєму комп’ютері.
2. Виберіть профіль Chrome, який містить ваші паролі.
3. Клацніть меню з трьома крапками у верхньому правому куті Chrome.
4. Натисніть Паролі й автозаповнення, потім Google менеджер паролів.
5. Перейдіть на вкладку Налаштування.
6. Прокрутіть вниз до пункту Видалити всі дані із сервісу Google Менеджер паролів та натисніть кнопку Видалити дані.

Також ви можете видаляти окремі паролі. Для цього перейдіть до вкладки Паролі і натисніть на той, що необхідно видалити, на сторінці паролю, що відкриється, натисніть кнопку Видалити.

Firefox

1. Відкрийте браузер Firefox на своєму комп’ютері.
2. Натисніть кнопку меню (три горизонтальні лінії) у верхньому правому куті Firefox.
3. Натисніть Паролі, потім відкрийте меню з трьома крапками у верхньому правому куті.
4. Виберіть Вилучити всі паролі.

Microsoft Edge

1. Відкрийте Microsoft Edge на своєму комп’ютері.
2. Клацніть меню з трьома крапками у верхньому правому куті Edge і виберіть Параметри.
3. Виберіть Конфіденційність, пошук і служби, прокрутіть униз і знайдіть розділ Видалити дані про перегляд веб-сторінок.
4. Натисніть Вибрати елементи для видалення.
5. Виберіть часовий діапазон Весь час і встановіть прапорець біля поля Паролі.
6. Натисніть Видалити зараз.

Інструкції з видалення паролів у Edge також застосовуються до інших браузерів на основі Chromium, таких як Brave та Opera.

Opera

1. Відкрийте Opera та натисніть іконку з трьома горизонтальніми лініями у верхньому правому куті.
2. Прокрутіть вниз та відкрийте пункт Перейти до повних налаштувань браузера.
3. Відкрийте вкладку Конфіденційніть та безпека на панелі ліворуч.
4. Оберіть пункт Видалити дані вебперегляду та перейдіть до вкладки Додатково.
5. Оберіть період часу Весь час та встановіть прапорець біля пункту Паролі й інші дані для входу.
6. Натисніть Видалити дані.

Brave

Щоб видалити паролі, які вже збережені в Менеджері паролів Brave:

1. Перейдіть до brave://settings/clearBrowserData
2. Виберіть вкладку Додатково.
3. Встановіть Діапазон часу на Весь час.
4. Встановіть прапорець в полі Паролі та інші дані для входу.
5. Натисніть кнопку Очистити дані. Попереджаємо, це не просто видалить паролі на локальному пристрої, це видалить всі паролі з усіх пристроїв, які синхронізовані з Brave Sync.

Vivaldi

Щоб видалити всі паролі, включно зі списком Ніколи не зберігати:

1. Відкрийте  Меню Vivaldi > Налаштування > Приватність > Конфіденційність та безпека > Очистити історію / Розширені;
2. Виберіть проміжок Увесь час;
3. Відмітьте пункт Збережені паролі;
4. Натисніть Видалити дані.

Ми не включаємо жодних інструкцій для користувачів Safari, оскільки Safari не має вбудованого менеджера паролів. Він покладається на iCloud Keychain, який є досить безпечним. Але якщо ви не використовуєте iCloud Keychain, не завадить видалити свої паролі з iCloud.

Почніть використовувати справжній менеджер паролів (якщо ще не використовуєте)

Усі браузери вразливі до крадіжок паролів. Неважливо, чи використовуєте ви Chrome, Firefox, Edge або менш відомий браузер, наприклад, Brave. Єдиним помітним винятком є Safari, який не має вбудованого менеджера паролів, а замість цього покладається на iCloud Keychain. (Тим не менш, iCloud Keychain є привабливою мішенню для хакерів, оскільки ним користується більшість клієнтів Apple).

Читайте також: Кращі менеджери паролів: як ними користуватися?

Вам слід припинити використовувати вбудований менеджер паролів вашого браузера. Сторонній варіант від авторитетних компаній, таких як 1Password, BitWarden або NordPass, забезпечить вищий рівень безпеки і водночас зручність у використанні. Ці менеджери паролів використовують шифрування AES-256, щоб захистити вашу базу даних паролів і запобігти розшифровці вашої бази даних іншими людьми на неавторизованих машинах. Вам навіть не потрібно платити за менеджер паролів – є багато хороших безкоштовних варіантів.

Ця стаття Як видалити збережені паролі зі старого браузера (і чому це потрібно) раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Сьогодні витоки даних стаються все частіше, а ваші облікові дані можуть потрапити в мережу навіть у разі дотримання суворих правил кібергігієнти, зокрема через інциденти у великих компаніях.

Під час одного із найбільших витоків даних через ряд атак на різні компанії та онлайн-сервіси, включно з LinkedIn та Twitter (зараз X), було викрадено 26 мільярдів записів із конфіденційною інформацією, серед якої і облікові дані користувачів. Тоді як злам вебсервісу Yahoo у 2013 році скомпрометував усі три мільярди акаунтів користувачів. Крім цього, у 2019 році у мережу потрапило 773 мільйони логінів та паролів, які раніше були викрадені з різних організацій.

У зв’язку з цим спеціалісти ESET підготували рекомендації про те, як дізнатися, чи ваші облікові дані зламано та як мінімізувати ризики їх витоку.

Як дізнатися, чи стали ви жертвою витоку даних

Перевірити, чи ваша адреса електронної пошти чи будь-який із паролів потрапили в мережу внаслідок витоку даних, можна за допомогою сайту haveibeenpwned.com. На сайті є безкоштовний інструмент, який може повідомити, коли та де з’явилися ваші дані.

Для цього потрібно ввести адресу електронної пошти та натиснути «pwned?». Після цього з’явиться повідомлення про стан безпеки ваших облікових даних, а також про витік, унаслідок якого вони потрапили у мережу. У разі відсутності ваших даних у будь-яких витоках результат буде зеленим, в іншому випадку він буде червоним з переліком всіх витоків даних, у яких з’явилася ваша облікова інформація.

Чим можуть допомогти браузери та менеджери паролів

Деякі браузери, зокрема Google Chrome та Firefox, можуть перевіряти наявність ваших паролів у відомих витоках даних. Chrome також може рекомендувати надійніші комбінації за допомогою свого диспетчера паролів або запропонувати інші функції для підвищення безпеки ваших облікових даних.

Однак ви можете покращити свою безпеку даних й скористатися спеціальним менеджером паролів, який забезпечить надійний захист облікової інформації, зокрема за допомогою шифрування. Менеджери паролів можуть не лише безпечно зберігати ваші дані для входу, але й генерувати складні та унікальні паролі для кожного акаунту. Ці інструменти також часто входять до складу багаторівневих програм з безпеки.

З іншого боку, менеджери паролів незахищені від компрометації та залишаються привабливими цілями для зловмисників, наприклад, для атак з викраденими обліковими даними або із використанням уразливостей програмного забезпечення. Однак вбудована перевірка паролів на витік та інтеграція з програмами для двофакторної автентифікації, які доступні на багатьох онлайн-платформах, допоможуть мінімізувати ризики та своєчасно відреагувати.

Як запобігти витоку облікових даних

На додаток до захисту паролем вмикайте двофакторну автентифікацію у кожному обліковому записі, який її підтримує, наприклад, Microsoft Authenticator або Google Authenticator. Це значно ускладнить отримати несанкціонований доступ зловмисникам до ваших облікових записів, навіть якщо вони якимось чином дізналися ваші паролі. Варто зазначити, що новий підхід до автентифікації забезпечує вхід без пароля, наприклад, за допомогою ключів доступу, токенів безпеки, одноразових кодів або біометричних даних для підтвердження на кількох пристроях та системах.

Крім цього, для безпеки паролів не записуйте та не зберігайте їх у програмі для створення нотаток. Також краще уникати зберігання облікових даних у браузерах, які зазвичай зберігають їх лише як прості текстові файли, що робить їх уразливими для викрадення шкідливим програмним забезпеченням.

Важливо використовувати надійні та унікальні паролі для кожного облікового запису, які ускладнюють здійснення атак методом підбору. Також слід уникати простих та коротких комбінацій, натомість використовувати парольні фрази з великими літерами та спеціальними символами, які часто легше запам’ятати. Для створення комбінацій або перевірки надійності ваших власних використовуйте генератор паролів від ESET.

Як компанії можуть уникнути витоку даних

Запобігти порушенням та інцидентам безпеки в компанії допоможе XDR-інструмент для виявлення та реагування. Крім того, він дозволить завчасно реагувати на будь-яку підозрілу активність. Також досить важливим є управління уразливостями, оскільки відстеження відомих помилок програмного забезпечення та своєчасне виправлення допомагає запобігти їх використанню кіберзлочинцями.

Тим часом людський фактор також може спровокувати компрометацію, наприклад, у випадку відкриття співробітником підозрілого вкладення електронної пошти або небезпечного посилання. Саме тому важливо проводити навчання з кібербезпеки, зокрема щодо захисту робочих станцій та пошти. Будь-яка компанія, яка займається безпекою даних, також повинна розглянути рішення для запобігання втраті даних (DLP) та запровадити надійну політику резервного копіювання.

Крім того, обробка великих обсягів даних користувачів вимагає суворих методів шифрування. Рішення для шифрування даних може захистити конфіденційну інформацію, ускладнюючи зловмисникам її використання у разі викрадення без відповідних ключів. Хоча єдиного рішення для всіх не існує, кожна компанія має забезпечити комплексний кіберзахист відповідно до своїх потреб, поєднуючи декілька рівнів з безпеки, щоб запобігти витоку даних.

Ця стаття Ваш пароль зламали: як перевірити це і запобігти витоку даних раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Ви коли-небудь намагалися створити або ввести паролі для стрімінгових сервісів безпосередньо на екрані телевізора? Якщо так, то ви знаєте, наскільки це незручно. Використовувати пульт дистанційного керування, щоб вбити кожен символ – це настільки божевільний процес, що у вас може виникнути спокуса використати короткий і простий пароль. Але це не найкраща ідея.

Кіберзлочинці шукають слабкі та ненадійні паролі не лише на ПК, мобільних пристроях та веб-сайтах, але й на потокових сервісах. Це стосується паролів, які ви створюєте на своєму телевізорі або стрімінговій приставці, а також тих, якими ви можете поділитися з родиною, друзями та іншими людьми, які користуються тією ж послугою.

Читайте також: Смарт-телевізор як засіб стеження: 10 порад для захисту від кіберзлочинців

Щоб проілюструвати спокусу створення коротких, простих і слабких паролів, менеджер паролів NordPass розглянув 200 найпоширеніших паролів, які використовують люди по всьому світу. Для п’ятого видання цього щорічного звіту NordPass виявив, що люди все ще використовують найслабші паролі, незважаючи на ризики шкідливого програмного забезпечення, крадіжок і компрометації облікових записів.

До топ-10 паролів увійшли наступні:

• 123456
• admin
• 12345678
• 123456789
• 1234
• 12345
• password
• 123
• Aa123456
• 1234567890

Пароль “123456” займав перше місце чотири рази за останні п’ять років, що свідчить про те, що люди продовжують покладатися на цей простий потік символів. Більшість інших паролів є варіаціями на ту ж тему. Незалежно від того, який пароль використовують люди, весь цей топ-10 може бути зламаний хакером менш ніж за секунду.

Насправді результати виявилися гіршими для паролів, які використовуються для потокових сервісів.

Найпоширеніші паролі для стрімінгових сервісів

• 123456
• 12345
• 123456789
• 12345678
• netflix
• UNKNOWN
• 123123
• 1234567890
• netflix123
• qwerty

“Ми помітили, що паролі для стрімінгових сервісів в середньому слабші, – розповів технічний директор NordPass Томаш Смалакіс. “Я можу лише припустити, що це пов’язано з тим, що люди схильні ділитися ними, тому створюють паролі, які легше запам’ятовуються, а також з тим, що їм доводиться вводити їх на телевізорі”.

За словами Смалакіса, слабкі паролі для стрімінгових сервісів створюють проблему, оскільки вони є легкою здобиччю для шкідливого програмного забезпечення, здатного викрадати особисту інформацію. Шкідливе програмне забезпечення може перехопити багато даних, збережених у браузері користувача, таких як імена користувачів, паролі та адреси електронної пошти. Але інші дані так само вразливі, включаючи збережені облікові дані браузера, файли cookie, дані автозаповнення браузера та кредитні картки, збережені в браузері.

Щоб скласти список паролів, NordPass співпрацював з незалежними дослідниками кібербезпеки. Разом вони проаналізували базу даних об’ємом 4,3 ТБ, взяту з відкритих джерел, в тому числі з темного інтернету. Вони також оцінили базу даних об’ємом 6,6 ТБ, що складається з паролів, викрадених різними шкідливими програмами, такими як Redline, Vidar, Taurus, Raccoon, Azorult і Cryptbot. Журнали шкідливого програмного забезпечення містили не лише паролі, але й веб-сайти-джерела, щоб хакери знали, на яких користувачів і які сайти націлені.

Поради для захисту акаунтів на стрімінгових сервісах

Тож як люди можуть створити більш надійні паролі та захистити свої акаунти для стрімінгу та інші сервіси від компрометації? Смалакіс пропонує кілька порад.

“Я б рекомендував налаштувати 2FA (двофакторну автентифікацію), якщо ваш потоковий сервіс дозволяє таку можливість, – каже Смалакіс. “Також спробуйте альтернативні методи автентифікації. Більшість потокових сервісів дозволяють користувачам входити в систему, скануючи QR-код своїм телефоном. Якщо ні, я все одно рекомендую встановлювати довгі та випадкові паролі – пару хвилин часу людини, безумовно, варто витратити на те, щоб залишатися в безпеці”.

Читайте також: Чому три випадкових слова – це найкращий пароль?

Ключі доступу поступово набувають популярності як більш безпечна і проста альтернатива паролям. Такі компанії, як Amazon, Apple, Google, Microsoft та Yahoo, вже підтримують паролі. Однак, поки більше веб-сайтів не дозволять використовувати цей тип автентифікації без пароля, найкращим варіантом буде використання менеджера паролів. Але метод, який ви використовуєте для керування паролями, має велике значення.

Смалакіс радить не зберігати паролі в браузері, а використовувати спеціальний менеджер паролів. За його словами, обидва типи можуть зберігати паролі та шифрувати їх від початку до кінця. Але різниця полягає в тому, як захищене сховище паролів. Щоб захистити ваші облікові дані, менеджери паролів браузерів і спеціальні менеджери паролів створюють приватні ключі, що зберігаються на стороні клієнта, і відкриті ключі, що зберігаються на сервері. Але менеджери паролів йдуть на крок далі.

“Що дійсно важливо, так це те, що менеджери паролів також шифрують приватний ключ після створення головного пароля (більшість браузерних менеджерів паролів не мають головного пароля)”, – пояснив Смалакіс. “Таким чином, якщо хакер встановить шкідливе програмне забезпечення на ваш пристрій, він зможе отримати приватний ключ і отримати доступ до вмісту сховища, що зберігається в менеджері паролів браузера. З менеджерами паролів, навіть якщо хакер отримає приватний ключ до сховища користувача, він буде зашифрований, а отже, непридатний для використання”.

Ця стаття Використовуєте слабкі паролі для стрімінгових сервісів? Змініть їх негайно! раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Ви прокидаєтеся і хапаєте телефон з тумбочки, ледве продерши очі зі сну. Коли з’являється екран блокування графічного ключа, ви автоматично малюєте знайомий візерунок, не замислюючись. Це швидко, легко і дозволяє одразу перейти до прокрутки сповіщень. Але наскільки надійно графічні ключі захищені від сторонніх очей?

Більшість людей використовують поширені фігури або літери

Погляньмо правді в очі: ми – люди звички. Налаштовуючи шаблонне блокування, ми природно тяжіємо до того, що нам знайоме. З’єднати крапки так, щоб утворилися такі літери, як B, C, D, D, E, G, L, M, N, O, P, R, S, U, W і Z, або цифри 2, 5, 6, 7 і 9, – це не складно. Навіть такі фігури, як квадрат або трикутник, здаються гарним вибором. Їх легко запам’ятати, і давайте будемо чесними, хто хоче витрачати час на запам’ятовування складного візерунка лише для того, щоб перевірити сповіщення?

Однак проблема в тому, що якщо це легко для вас, то і для когось іншого здогадатися теж не складе труднощів. Особливо, якщо інші знають вас достатньо добре, щоб передбачити, що ви виберете літери з вашого імені або числа вашого дня народження. Більше того, згідно з дослідженням Arstechnica, більшість людей схильні створювати візерунки, починаючи з лівого верхнього кута і рухаючись зліва направо або зверху вниз. Це ще більше полегшує вгадування.

Отже, якщо ваш візерунок блокування схожий на той, що на зображенні вище, можливо, настав час його змінити. Якщо ваш телефон коли-небудь потрапить до чужих рук, саме ці графічні ключі вони, швидше за все, спробують використати в першу чергу. Тож, як щодо того, щоб дещо змінити? Виберіть щось трохи складніше – подумайте про накладання, косі лінії або рухи, які повторюються на тих ділянках, які ви вже відстежували. Це не обов’язково має бути головоломкою, але чим унікальнішим і складнішим воно буде, тим більше шансів, що вам вдасться зберегти гарфічний ключ в таємниці. Це лише невелика інформація для роздумів, коли ви наступного разу налаштовуватимете блокування графічного ключа.

Сліди на екрані можуть розкрити графічні ключі

Щоразу, коли ви проводите пальцем по екрану, щоб розблокувати телефон, ви залишаєте за собою маслянистий слід або “плями”. Зазвичай вони просто неприємні і роблять екран брудним. Але в умілих руках ці плями можуть розкрити вашу схему розблокування.

Уявіть собі: ви залишаєте свій телефон без нагляду в кафе на якусь мить. Хтось кмітливий піднімає його, підносить до світла, і вуаля – відбитки ваших пальців стають видимими, розкриваючи ваш графічний ключ розблокування. Це те, що відомо як “атака плям”.

Згідно з дослідженням [PDF], проведеним дослідниками з Університету Пенсильванії, за ідеальних умов атака по плямі може успішно ідентифікувати графічні ключі у 68% випадків. Дослідження також показало, що більш складні візерунки з більшою кількістю поворотів і гачків насправді залишають більший контраст і іноді їх легше розпізнати, ніж простіші візерунки на фотографіях, що досить дивно.

Існує набагато менше комбінацій візерунків

Ви можете почати свій візерунок з будь-якої з дев’яти точок у сітці 3х3 – це типовий розмір. Але після того, як ви вибрали початкову точку, ваші можливості для наступної точки стають обмеженими. Ви не можете повторити точку, а до деяких точок можна дістатися, лише пройшовши через інші.

Отже, скільки унікальних візерунків ви можете створити? Враховуючи всі ці правила, математичні розрахунки показують, що існує трохи менше 400 000 можливих комбінацій візерунків. Це може здатися багато, але порівняйте це з 6-значним PIN-кодом з мільйоном можливих комбінацій або 6-символьним паролем, що складається з великих літер і цифр, кількість комбінацій якого значно більша, можливо, сягає мільярдів.

Відносно невеликий простір для підбору означає, що зловмисник може використовувати програмне забезпечення для систематичного перебору всіх можливих комбінацій, щоб розблокувати ваш телефон. Це можна зробити і з PIN-кодами та паролями, але це не так просто.

Інші люди можуть легко підгледіти графічні ключі

Уявіть, що ви перебуваєте в громадському місці і розблоковуєте свій телефон. Ви навіть не підозрюєте, що десь поруч хтось крадькома поглядає на ваш екран. Швидко глянувши через ваше плече, він може побачити і запам’ятати візерунок, який ви намалювали. Ця підступна тактика відома як “атака через плече” (але чи це справді атака?!).

Краса і прокляття візерункових замків полягає в їх простоті та наочності. Їх легко запам’ятати, навіть здалеку або при побіжному погляді. Отже, будь-хто, хто може побачити ваш екран, коли ви розблоковуєте телефон, потенційно може вивчити ваш графічний ключ.

Але не хвилюйтеся, є простий трюк, який зробить вас менш вразливими до цієї проблеми в громадських місцях. Просто тримайте пристрій під кутом, який захищає екран від сторонніх очей.

Існують кращі альтернативи графічним блокуванням

Графічні замки можуть здатися простим варіантом, але вони не забезпечують належного захисту. Якщо ви дійсно хочете заблокувати свій Android, є набагато кращі альтернативи.

Для початку, добре працює встановлення PIN-коду або паролю на телефоні. Звичайно, придумування довгого рядка цифр, букв і символів може здатися болісним, але цей випадковий набір симфолів також робить його шалено складним для будь-кого іншого, щоб зламати ваш код. Якщо запам’ятовування складного пароля здається вам занадто складним завданням, ви можете скористатися біометричними опціями, якщо ваш телефон має відповідне обладнання. Просто дозвольте телефону просканувати ваше обличчя або палець, і бум – розблоковано.

І не забувайте про всі додаткові заходи безпеки. Наша мета – тримати телефон надійно заблокованим. Ці шаблонні свайпи можуть бути милими, але не зупинять запеклого шпигуна. Розгляньте інші варіанти блокування телефону, і ваш телефон та особисті дані будуть вам вдячні.

Ця стаття Чому варто припинити використовувати графічні ключі для захисту телефону на Android раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Після останнього порушення безпеки менеджеру паролів LastPass є що пояснити. Можливо, настав час знайти новий менеджер паролів.

Наприкінці грудня генеральний директор LastPass Карім Тубба визнав , що інцидент із безпекою, про який компанія вперше оголосила в серпні, зрештою проклав шлях для неавторизованої сторони до викрадення інформації про облікові записи клієнтів і даних сховища. Це останній у довгій серії інцидентів безпеки, пов’язаних із LastPass, які датуються 2011 роком.

Цей виток також викликає найбільше занепокоєння.

Читайте також: Чому три випадкових слова – це найкращий пароль? ІНСТРУКЦІЯ

Неавторизована сторона тепер має доступ до незашифрованої інформації облікового запису абонента, як-от імена користувачів LastPass, назви компаній, платіжні адреси, адреси електронної пошти, номери телефонів та IP-адреси, повідомляє Toubba. Ця сама неавторизована сторона також має копію даних сховища клієнтів, яка включає незашифровані дані, наприклад, URL-адреси веб-сайтів, і зашифровані дані, як-от імена користувачів і паролі для всіх сайтів, які клієнти зберегли у своїх сховищах. Якщо ви підписалися на LastPass, серйозність цього порушення має змусити вас шукати інший менеджер паролів, оскільки ваші паролі та особисті дані можуть бути розкриті.

Що робити підписникам LastPass?

Компанія не уточнила, скільки користувачів постраждали від злому. Але якщо ви підписалися на LastPass, вам потрібно діяти, виходячи з припущення, що ваші дані користувача та сховища знаходяться в руках неавторизованої сторони з поганими намірами. Незважаючи на те, що найбільш конфіденційні дані зашифровані, проблема полягає в тому, що зловмисник може запускати атаки методом грубої сили на викрадені локальні файли. За оцінками LastPass, для вгадування головного пароля знадобляться «мільйони років», якщо ви дотримуєтеся найкращих практик.

Читайте також: За скільки часу хакери зламають Ваш пароль? Перевірте онлайн

Якщо ви цього не зробили або просто хочете бути спокійними, вам доведеться витратити багато часу та зусиль на зміну ваших індивідуальних паролів. І поки ви це робите, ви, ймовірно, також захочете перейти з LastPass.

Маючи це на увазі, ось що вам потрібно зробити зараз, якщо ви підписалися на LastPass:

1. Знайдіть новий менеджер паролів . Враховуючи історію інцидентів безпеки LastPass і враховуючи серйозність цього останнього порушення, зараз найкращий час, ніж будь-коли, шукати альтернативу.

2. Негайно змініть найважливіші паролі на рівні сайту . Це включає паролі для будь-чого, як-от онлайн-банкінгу, фінансових записів, внутрішніх облікових записів компанії та медичної інформації. Переконайтеся, що ці нові паролі надійні та унікальні.

3. Змініть усі інші онлайн-паролі . Також варто змінити паролі в порядку важливості. Почніть зі зміни паролів до облікових записів, таких як електронна пошта та профілі соціальних мереж, а потім ви зможете повернутися до інших облікових записів, які можуть бути не такими критичними.

4. Увімкніть двофакторну автентифікацію, де це можливо . Змінивши паролі, обов’язково ввімкніть 2FA в будь-якому обліковому записі в Інтернеті, який пропонує його. Це забезпечить вам додатковий рівень захисту, сповіщаючи вас і вимагаючи авторизації кожної спроби входу. Це означає, що навіть якщо хтось отримає ваш новий пароль, він не зможе отримати доступ до певного сайту без вашого додаткового пристрою автентифікації (як правило, телефону).

5. Змініть головний пароль . Хоча це не змінює рівень загрози для викрадених сховищ, все ж розумно допомогти пом’якшити загрози будь-якої потенційної майбутньої атаки, якщо ви вирішите залишитися з LastPass.

Варто розглянути альтернативи LastPass

• Bitwarden : є надзвичайно безпечною альтернативою LastPass із відкритим кодом. Безкоштовний рівень Bitwarden дозволяє використовувати менеджер паролів на необмеженій кількості пристроїв різних типів.
• 1Password : ще один чудовий менеджер паролів, який без проблем працює на різних платформах. 1Password не пропонує безкоштовний рівень, але ви можете спробувати його безкоштовно протягом 14 днів.
• iCloud Keychain : вбудований менеджер паролів Apple для пристроїв iOS, iPadOS і MacOS є чудовою альтернативою LastPass, доступною для користувачів Apple без додаткової плати. iCloud Keychain безпечний і простий у налаштуванні та використанні на всіх ваших пристроях Apple. Він навіть пропонує клієнт Windows із підтримкою браузерів Chrome і Edge.

Читайте також: Кращі менеджери паролів: як ними користуватися?

Як до цього дійшло?

У серпні 2022 року LastPass опублікував допис у блозі , написаний Toubba, у якому говориться, що компанія «визначила, що неавторизована сторона отримала доступ до частин середовища розробки LastPass через єдиний зламаний обліковий запис розробника та забрала частини вихідного коду та деяку пропрієтарну технічну інформацію LastPass.»

У той час Toubba сказав, що загрозу вдалося приборкати після того, як LastPass «залучив провідну фірму з кібербезпеки та криміналістики» та запровадив «посилені заходи безпеки». Але ця публікація в блозі буде оновлена ​​кілька разів протягом наступних місяців, оскільки обсяг порушення поступово розширювався.

15 вересня Toubba оновив допис у блозі , щоб повідомити клієнтів про завершення розслідування інциденту.

«Наше розслідування показало, що діяльність загрози була обмежена чотирма днями в серпні 2022 року. Протягом цього періоду часу команда безпеки LastPass виявила діяльність загрози, а потім стримувала інцидент», — сказав Тубба. «Немає жодних доказів будь-якої активності загрозливих осіб поза межами встановленого терміну. ​​Ми також можемо підтвердити, що немає жодних доказів того, що цей інцидент стосувався будь-якого доступу до даних клієнтів або зашифрованих сховищ паролів».

Toubba запевнив клієнтів у той час, що їхні паролі та особисті дані в безпеці під опікою LastPass.

Однак виявилося, що неавторизована сторона справді змогла отримати доступ до даних клієнтів. 30 листопада Тубба ще раз оновив публікацію в блозі, щоб попередити клієнтів про те, що компанія «визначила, що неавторизована сторона, використовуючи інформацію, отриману під час інциденту в серпні 2022 року, змогла отримати доступ до певних елементів інформації наших клієнтів».

Потім, 22 грудня , Toubba опублікував довге оновлення допису в блозі, виклавши тривожні подробиці щодо того, до яких саме даних клієнтів хакери змогли отримати доступ під час зламу. Саме тоді вся серйозність ситуації нарешті виявилася, і громадськість дізналася, що особисті дані клієнтів LastPass були в руках зловмисника, і всі їхні паролі були під серйозною загрозою розкриття.

Тим не менш, Toubba запевнив клієнтів, які дотримуються найкращих практик LastPass щодо паролів і мають останні налаштування за замовчуванням, що наразі не рекомендується жодних подальших дій з їхнього боку, оскільки їхні «конфіденційні дані сховища, такі як імена користувачів і паролі, безпечні нотатки, вкладення та поля для заповнення форм залишаються безпечно зашифрованими на основі архітектури Zero Knowledge LastPass».

Однак Тубба попередив, що ті, хто не ввімкнув налаштування LastPass за замовчуванням і не дотримується найкращих практик менеджера паролів, піддаються більшому ризику зламати свої головні паролі. Тубба запропонував цим користувачам подумати про зміну паролів веб-сайтів, які вони зберігають.

Що все це означає для підписників LastPass?

Початкове порушення закінчилося тим, що дозволило неавторизованій стороні отримати доступ до конфіденційних даних облікового запису користувача, а також до даних сховища, що означає, що абоненти LastPass повинні бути надзвичайно стурбовані цілісністю даних, які вони зберігають у своїх сховищах, і повинні сумніватися в здатності LastPass зберігати їхні дані в безпеці.

Якщо ви є абонентом LastPass, неавторизована сторона може отримати доступ до особистої інформації, як-от ваше ім’я користувача LastPass, адреса електронної пошти, номер телефону, ім’я та адреса виставлення рахунку. IP-адреси, які використовувалися під час доступу до LastPass, також були виявлені під час зламу, що означає, що неавторизована сторона також могла бачити місця, з яких ви використовували свій обліковий запис. А оскільки LastPass не шифрує збережені URL-адреси веб-сайтів користувачів, неавторизована сторона може бачити всі веб-сайти, для яких у вас збережена інформація для входу в менеджер паролів (навіть якщо самі паролі зашифровані).

Подібна інформація дає потенційному зловмиснику багато можливостей для здійснення фішингової атаки та соціальної інженерії для доступу до паролів ваших облікових записів. І якщо у вас є збережені посилання для скидання пароля, які можуть бути активними, зловмисник може легко створити новий пароль для себе.

LastPass каже, що зашифровані дані сховища, як-от імена користувачів і паролі, захищені нотатки та дані, заповнені формами, які були викрадені, залишаються в безпеці. Однак, якби зловмисник зламав ваш головний пароль під час зламу, він міг би отримати доступ до всієї цієї інформації, включаючи всі імена користувачів і паролі до ваших облікових записів в Інтернеті. Якщо ваш головний пароль був недостатньо надійним під час зламу, ваші паролі особливо ризикують бути розкритими.

Зміна головного пароля зараз, на жаль, не допоможе вирішити проблему, оскільки зловмисники вже мають копію вашого сховища, зашифровану за допомогою головного пароля, який був у вас на момент злому. Це означає, що зловмисники по суті мають необмежену кількість часу, щоб зламати головний пароль. Ось чому найбезпечнішим варіантом дій є скидання пароля для всіх ваших облікових записів, збережених у LastPass. Після зміни на рівні сайту це означатиме, що зловмисники отримають ваші старі, застарілі паролі, якщо їм вдасться зламати викрадені зашифровані сховища.

Щоб дізнатися більше про безпеку в Інтернеті, ось поради щодо конфіденційності даних , які хочуть знати експерти з цифрової безпеки, і змінити налаштування веб -переглядача, щоб краще захистити вашу інформацію.

Джерело: CNET

Ця стаття Витік LastPass: що вам потрібно зробити, щоб захистити свої паролі раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Під час збереження паролів у Microsoft Edge не потрібно турбуватися про вхід на улюблені веб-сайти. Однак якщо потрібно відредагувати або видалити збережений пароль, Вам необхідно буде отримати доступ до меню “Налаштування” Microsoft Edge.

Ці кроки стосуються браузера Edge на основі Chromium, який Microsoft випустила влітку 2020. Якщо Ви нещодавно не оновлювали свій ПК, доведеться переконатися, що Ви працюєте з останньою версією Windows (і Microsoft Edge), пише How-To Geek.

Як додати пароль до Microsoft Edge?

За замовчуванням Microsoft Edge запитає, чи хочете Ви зберегти пароль, коли він розпізнає поле введення пароля на веб-сайті. Наприклад, якщо користувач вперше входить в Gmail, Edge запропонує зберегти ім’я користувача та пароль Google.

Під адресним рядком з’явиться спливаюче повідомлення з проханням підтвердити деталі. Якщо цього не сталося, натисніть значок ключа безпеки, щоб переглянути спливаюче вікно. Значок ключа безпеки видно в крайньому правому розділі адресного рядка, прямо перед значком закладок.

Якщо потрібно зберегти деталі у профілі користувача Edge, натисніть кнопку “Зберегти”. Якщо замість цього натиснути кнопку “Ніколи”, корпорація Майкрософт не збереже деталі та не буде запитувати Вас у майбутньому.

Як редагувати або видаляти паролі з Microsoft Edge?

Ви можете змінити або видалити будь-які збережені паролі в меню “Налаштування” Microsoft Edge.

1. Для цього у вікні браузера Edge виберіть значок меню з трьома крапками у верхньому правому куті, а далі опцію “Налаштування”.

2. Коли користувач заходить в меню Edge “Налаштування”, за замовчуванням з’являється вкладка “Профілі”. Якщо ні, слід вибрати її в меню ліворуч.

3. На вкладці “Профілі” натисніть опцію “Паролі”, щоб переглянути збережені паролі для активного в даний час профілю користувача.

У меню “Паролі” Ви побачите список збережених паролів (перелічених у категорії “Збережені паролі”). Також є функція налаштування принципу роботи паролів корпорації Microsoft включаючи можливість автоматичного входу на збережені веб-сайти.

Як редагувати збережені паролі?

Список збережених паролів буде вказано в категорії “Збережені паролі” в меню “Паролі”. Щоб відредагувати збережений пароль, виберіть піктограму меню з трьома крапками поруч із записом, а потім натисніть опцію “Деталі”.

Після цього з’явиться вікно “Деталі пароля”, де користувачі можуть змінювати збережені URL-адреси, ім’я користувача та записи пароля. Відредагуйте деталі та виберіть “Готово”, щоб зберегти запис.

Як видалити збережені паролі?

Якщо є необхідність у видаленні збереженого паролю у Microsoft Edge, натисніть піктограму з трьома крапками поруч із збереженим записом у категорії “Збережені паролі”. У спадному меню виберіть опцію “Видалити”.

Наразі обліковий запис користувача буде видалено. Однак, якщо Ви хочете швидко скасувати цю дію, виберіть піктограму “Скасувати” у спливаючому вікні попередження у верхньому правому куті вікна Edge.

Буде надано короткий проміжок часу, щоб зробити це, однак слід переконатися, що Ви дійсно хочете видалити обліковий запис, перш ніж продовжувати.

Налаштування паролів Microsoft Edge

За замовчуванням Microsoft Edge автоматично запропонує зберегти паролі. Якщо Ви хочете вимкнути цей запит, виберіть повзунок біля опції “Запропонувати збереження паролів”.

Якщо Microsoft Edge розпізнає збережений веб-сайт, він буде використовувати збережені дані пароля для автоматичного входу в систему. Щоб вимкнути цю функцію, виберіть повзунок біля опції “Автоматично входити”.

Як функцію захисту Edge також автоматично приховує паролі, які Ви вводите в поля паролів у Інтернеті. Однак, щоб допомогти Вам перевірити правильність введеного пароля, Edge запропонує переглянути його.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як безпечно робити покупки в Інтернеті на новорічні свята? Поради

Як безпечно організовувати і брати участь в онлайн-зустрічах?

Як дізнатися, коли було встановлене основне оновлення Windows 10? ІНСТРУКЦІЯ

Як увімкнути зникаючі повідомлення у WhatsApp? – ІНСТРУКЦІЯ

Топ-15 смартфонів із найшвидшою зарядкою

Зверніть увагу, генеральні прокурори десяти американських штатів подали антимонопольний позов проти Google. Вони звинувачують компанію в змові з Facebook і порушення законодавства про рекламу в Інтернеті.

Окрім цього, три мільйони користувачів стали жертвами шкідливих розширень для браузерів Chrome і Edge. Ці розширення викрадали персональні дані і перенаправляли користувачів на фішингові сайти.

До речі, американська компанія SolarWinds розпочала розслідування кіберінціденту, під час якого зловмисникам вдалося використати продукти SolarWinds в атаках на державні і приватні організації США. Кіберзлочинці змогли скомпрометувати систему збирання софту, яку використовують для моніторингової платформи Orion

Нагадаємо, що iOS 14.3 і iPadOS 14.3 отримали виправлення 11 проблем безпеки, серед яких є настільки серйозні, що зловмисник може виконати код на пристроях iPhone і iPad. Для експлуатації двох найсерйозніших багів хакеру досить використовувати спеціально підготовлений файл шрифту, за допомогою якого можна запустити шкідливий код в системі жертви.

Ця стаття Як додавати, редагувати або видаляти збережені паролі в Microsoft Edge? – ІНСТРУКЦІЯ раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Користувачі популярного стріммінгового сервісу Spotify стали жертвами кіберзлочинців, які запустили атаки типу “credential stuffing”, що дозволило отримати контроль над деякими екаунтами.

Це ще одне яскраве нагадування про те, що не можна використовувати однакові паролі для різних онлайн-сервісів.

Атаки “credential stuffing” розраховані на людей, які не хочуть запам’ятовувати безліч паролів або користуватися відповідними менеджерами, пише Bleeping Computer.

Як правило, це призводить до того, що на декількох сайтах вводяться одні і ті ж паролі. В цьому випадку кіберзлочинці, використовуючи витік у одній з компаній, можуть “викрасти” й інші облікові записи користувача. Для цього задіюються спеціальні скрипти, що автоматизують цей процес.

Нещодавно команда дослідників з vpnMentor виявила базу даних Elasticsearch, що містить понад 380 мільйонів записів користувачів: облікові дані та інша інформація про екаунти у сервісі Spotify.

Ця база займала 72 Гб, в ній можна було знайти імена користувачів, їхні паролі (підтверджені), адреси електронної пошти та країни проживання.

“Злити база даних належить третім особам, які використовували її для зберігання логінів і паролів користувачів Spotify. Ці облікові дані, очевидно, були отримані нелегальним шляхом. Імовірно, це витік з іншого онлайн-сервісу”, – пояснюють в vpnMentor.

Експерти не втомлюються попереджати: підходите відповідально до пральний захисту своїх облікових записів, завжди приділяйте увагу складності паролів і їх оригінальності. Ні у жодному разі не варто використовувати один пароль для всіх екаунтів.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як увімкнути новий зчитувач PDF від Google Chrome? – ІНСТРУКЦІЯ

Як надавати дозволи, зокрема, тимчасові для програм на Android? – ІНСТРУКЦІЯ

Нова macOS Big Sur: 10 порад щодо налаштування та використання ОС

Як заборонити друзям із Facebook надсилати Вам повідомлення в Instagram? – ІНСТРУКЦІЯ

Як захисти свої пристрої під час віддаленої роботи з дому? ПОРАДИ

До речі, кібершахраям в черговий раз вдалося обійти захист офіційного магазину додатків для Android – Google Play Store, у результаті чого понад мільйон користувачів постраждали від фейковий модів для популярної гри Minecraft.

Зверніть увагу, що оператори відеосервісу TikTok усунули дві уразливості, які в комбінації дозволяють без особливих зусиль отримати контроль над чужим екаунтом. Одна з уразливостей була присутня на сайті, інша з’явилася в клієнтському додатку.

Також дослідники з кібербезпеки повідомили про зростання кількості кібератак, що використовують сервіси Google в якості зброї для обходу засобів захисту і крадіжки облікових даних, даних кредитних карт та іншої особистої інформації.

У мобільній версії додатка Facebook Messenger усунули уразливість, за допомогою якої можна було прослуховувати оточення абонента. За свідченням експерта, який знайшов баг, таємне підключення до цільового Android-пристрою у даному випадку виконується за кілька секунд.

П’ятеро фігурантів видавали себе за IT-спеціалістів фінансової установи. Під виглядом “тестування платіжної системи” вони здійснили незаконні перекази грошей на підконтрольні рахунки. У результаті таких дій вони незаконно привласнили 1,4 мільйона гривень банківської установи.

Ця стаття Дані 380 мільйонів екаунтів Spotify потрапили в Мережу через “погані” паролі раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Незалежно від того, яким браузером Ви користуєтеся, Ви сподіваєтеся, що його засоби захисту достатньо надійні для того, щоб безпечно користуватися Інтернетом. Нещодавно  Google значно покращила  безпеку свій мобільний браузер Chrome, приділяючи особливу увагу безпеці паролів, про що повідомляє PC Magazine.

Остання версія Chrome (Chrome 86) для Android та iOS перевірятиме, чи є якийсь із паролів, які Ви дозволили запам’ятати Chrome, у списку порушених облікових даних. АбдельКарім Мардіні, старший менеджер з продуктів Chrome, пояснив:

“Щоб перевірити, чи є у Вас скомпрометовані паролі, Chrome надсилає копію ваших імен і паролів до Google за допомогою спеціальної форми шифрування. Це дозволяє Google перевіряти їх на відповідність списки облікових даних, про які відомо, що вони скомпрометовані, але Google не може отримати Ваше ім’я користувача чи пароль із цієї зашифрованої копії “.

Якщо виявлено будь-які скомпрометовані паролі, Chrome повідомить вас і переведе користувачів безпосередньо до форми зміни пароля для відповідного пароля. Це означає, що Ви можете дуже швидко вирішити проблему, не вимагаючи ручного переходу до форми та не витрачаючи час на пошук правильного пароля для заміни.

Chrome уже захищає від небезпечних веб-сайтів за допомогою  опції покращеного “Безпечного перегляду”, який оновлює список веб-сайтів, що містять шкідливі програми та фішинг-кампанії, кожні 30 хвилин на вашому пристрої. Цей покращений “Безпечний перегляд” вже зараз пропонується мобільним користувачам Chrome, що дозволяє здійснювати перевірки в режимі реального часу. Google заявляє, що введення цього посиленого заходу безпеки збільшує захист на 20-25 відсотків.

Ще в липні Chrome на Android отримав доступні для заповнення форми для паролів та біометричну перевірку безпеки для здійснення транзакції карткою. iOS тепер отримує подібну функцію, що дозволяє користувачам використовувати Face ID, Touch ID або телефонний пароль для автозаповнення паролів. Нарешті, посилюється обробка “змішаного вмісту”. “Змішаний вміст” – це коли сторінка, захищена HTTPS, містить певний контент, який не є захищеним. Chrome або блокує, або захищає такий вміст, але Chrome 86 додає нові попереджувальні повідомлення для користувачів настільних ПК та Android, а також блокує або попереджає про незахищені завантаження із захищених сторінок.

Радимо звернути увагу на поради, про які пише Cybercalm, а саме:

Як виявити шахрайство з технічною підтримкою та уникнути його? Поради

Як за допомогою командного рядка швидко відкрити програми?

Як виявити підозрілий електронний лист і не шукати на гачку до спамерів? – ІНСТРУКЦІЯ

Що робити, якщо Ви купуєте під фішинг-атаку? Поради

Як надсилати список з іншої адресою відправника в Outlook? – ІНСТРУКЦІЯ

Як безпечно зберігати файли на Google Диску? Поради

Кібератаки та шкідливі програми – одна з найбільших загроз в Інтернеті. Дізнатися в статтях,  як достатньо за допомогою зловмисного програмного забезпечення?

До речі,  ціноутворення Інтернету в 15 країнах  здійснюється завдяки американським технологіям.

Цікаво знати, що створюється створення знімка екрана на телефоні або планшеті Android через вашу модель. Однак, за допомогою зручної програми  Ви можете зробити знімок екрана, просто торкнувшись задньої панелі пристрою .

Також стало відомо, що вірус Covid-19 може  залишатись небезпечним на таких поверхнях, як екрани смартфонів  набагато довше, ніж раніше.

Оновлення watchOS 7 для Apple Watch представило нову функцію для всіх, хто турбує гігієну рук під час пандемії COVID, – відстеження миття рук. Як її знайти, читайте у статтях.

Ця стаття Google удосконалює безпеку паролів на мобільних версіях Chrome раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Apple опублікувала набір безкоштовних інструментів та ресурсів, щоб допомогти розробникам менеджерів паролів – а також інших програм – генерувати надійні паролі.

Про це повідомляє ZDNet.

На GitHub були викладені нові інструменти, що називаються Password Manager Resources. Apple каже, що нові інструменти призначені насамперед для того, щоб допомогти розробникам програм керування паролями створити кращі версії програм.

Apple заявила, що опублікувала ці інструменти для вирішення давньої проблеми з програмами керування паролями, яка є актуальною для всіх операційних систем, а не тільки для macOS та iOS.

Проблема полягає в тому, що, хоча менеджери паролів створюють унікальні та надійні паролі, але у багатьох випадках ці паролі не сумісні з веб-сайтами, для яких вони створені. Користувачі, які стикаються з помилками під час генерування випадкового пароля, часто вдаються до вибору свого власного, який у багато разів коротший та менш безпечний, ніж той, який зазвичай генерується програмою менеджера паролів.

Вищезгадані інструменти Apple включають переліки правил вибору пароля для багатьох популярних веб-сайтів, які потребують пароль для входу.

Apple каже, що менеджери паролів, які будуть використовувати його список правил, почнуть генерувати паролі, які є одночасно сильними та унікальними, але також сумісними з веб-сайтами, для яких вони використовуються, а, отже, зменшуватимуть помилки користувачів та випадки, коли користувачі прагнуть обирати свої паролі,які є менш надійними.  Це ситуація, яку Apple хоче виправити.

Крім того, Apple також опублікувала список веб-сайтів, які діляться між собою обліковими записами для входу, щоб “зробити пропозиції щодо заповнення паролів більш корисними”.

Крім того, Apple також поділилася списком URL-адрес веб-сайтів, куди зараз користувачі перенаправляються при вході, щоб змінити їхні паролі. Apple каже, що цей список буде корисним для розробників менеджерів паролів, якщо вони виявлять слабкий пароль і хочуть перенести користувача безпосередньо на сторінку, де він може змінити пароль, а не змушувати користувача знайти цю сторінку самостійно (бо тут є ризик, що користувач потрапить на фішингову сторінку, якщо буде це робити через пошукові системи).

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

ЯК КОНТРОЛЮВАТИ ОНОВЛЕННЯ WINDOWS 10 ЗА П’ЯТЬ КРОКІВ

ЯК ОБМЕЖИТИ ЕКРАННИЙ ЧАС У WINDOWS 10? – ІНСТРУКЦІЯ

ЯК ВИПРАВИТИ НЕПОЛАДКИ ЗІ ЗВУКОМ НА МАС?

ЯК ЗАБОРОНИТИ ВІДЗНАЧАТИ ВАС НА ФОТО В INSTAGRAM?

ЯК ВІДПРАВЛЯТИ ФАКС ЗІ СВОГО СМАРТФОНА?

Нагадаємо, фахівці з VPNpro виявили в Google Play Store цілу низку шкідливих додатків, в цілому встановлених щонайменше на 157 млн пристроїв. Метою додатків було збір даних про користувачів.

Також виявлено експлойт, який дозволяє зловмисникам перехоплювати будь-яку програму на зараженому смартфоні – потенційно відкриваючи приватні SMS-повідомлення та фотографії, облікові дані входу, GPS-координати, телефонні розмови

Окрім цього, Google випустила оновлення Google Maps, в якому додала підтримку режиму Plus Code. Він дозволяє поділитися геолокацією, навіть якщо адреса відсутня або невідома.

До речі, Google також оголосила про намір впровадити в Chrome антиспам-систему для блокування повідомлень. Нова функція повинна з’явитися в версії Chrome 84, запланованої до виходу 12 липня 2020 року.

А компанія Microsoft заявила, що Windows 10, версія 2004, буде постачатися з підтримкою Wi-Fi 6 і WPA3 для гігабітних швидкостей і кращої продуктивності, а також для більш безпечного бездротового підключення до мережі.

Ця стаття Apple опублікувала вихідний код та документацію щодо власних менеджерів паролів раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Мешканець Миколаєва на різноманітних хакерських форумах пропонував послугу з криптування шкідливого програмного забезпечення. Після криптування вірус успішно “обходив” антивірусні програми на комп’ютерах користувачів.

Про це йдеться у повідомленні Департаменту кіберполіції Національної поліції України.

Для анонімізації своїх дій 23-річний зловмисник використовував у якості розрахунку виключно електронні грошові системи, переважно російських платіжних систем.

Як повідомляє кіберполіція, удосконалені ним віруси дозволяли здійснювати крадіжку логінів та паролів до різноманітних сервісів, а також отримувати віддалений доступ до уражених комп’ютерів.

Під час обшуку його помешкання поліцейські вилучили комп’ютер та мобільний телефон, з екаунтами у месенджерах, за допомогою яких він здійснював свою протиправну діяльність. Під час попереднього огляду вилученої техніки встановлено близько півсотні фактів збуту шкідливого програмного забезпечення.

Кримінальне провадження розпочато за ст.361-1 (Створення з метою використання, розповсюдження або збуту шкідливих програмних чи технічних засобів, а також їх розповсюдження або збут) Кримінального Кодексу України.

Зловмиснику повідомлено про підозру. Йому загрожує до двох років ув’язнення.

Нагадаємо, що програми Microsoft Paint та WordPad перестануть бути обов’язковими після оновлення Windows 10 Spring 2020 року.

Також Google збільшила кількість часу, який необхідний новій програмі Android, щоб пройти процедуру затвердження Play Store.

Стало відомо, що дослідники з компанії Avanan, що займається питаннями безпеки електронної пошти, виявили нову фішингову кампанію. Зловмисники за допомогою повідомлень голосової пошти Microsoft Voicemail намагаються змусити жертву відкрити вкладення HTML, що перенаправляє на фішингові web-сторінки.

Окрім цього, Google видалила 85 додатків для Android із магазину Google Play після того, як дослідники виявили, що це рекламне програмне забезпечення (adware), яке вдає з себе нормальні додатки.

Зверніть увагу, в Microsoft виявили незвичайну фішингову кампанію, в якій використовуються кастомні сторінки з помилками 404. Таким чином зловмисники намагаються обманом змусити потенційних жертв видати свої облікові дані.

Ця стаття Зловмисник криптував віруси для обходу антивірусного захисту та крадіжки паролів раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Гігантська база даних на 2,2 мільярда комбінацій логін – пароль вільно розповсюджується тенетами Даркнету. Очевидно, хтось об’єднав всі наявні нелегально добуті бази даних в одну та поширює її на форумах і торентах, пише Wired.

Раніше вважали, що хакери оперують величезним масивом даних даних після витоків 117 мільйонів паролів з Linkedin та 71 мільйон паролів з Dropbox.

Спеціалісти з кібербезпеки Трой Хант та Кріс Роуленд вивчили одну з перших частин бази, яка налічує  5 частин, на 773 мільйонів паролів і виявили, що як мінімум 130 осіб її вже завантажили і близько 1000 намагаються завантажити. Аналіз контенту встановив, що це дійсно об’єднання більш ранніх дампів (з англ. – звалище), в тому числі з Linkedin та Dropbox, яким, як мінімум, рік. Але багато паролів досі дійсні і можуть бути використані у будь-який момент.

До того ж, за даними дослідників з Інституту Хассо Платтнера, значна частина паролів походить з дрібніших дампів, витік яких значно важче відстежити, ніж витоки великих дампів на десятки мільйонів паролів. Вони роками можуть залишатися непоміченими.

Це дає підстави вважати викладення всього архіву більш небезпечним, ніж прийнято було вважати — саме невеликі витоки, які не були помічені відразу, дають можливість хакерам оперувати приватними даними користувачів протягом довгого часу без вживання заходів безпеки адміністраціями ресурсів.

Також, за словами Кріса Роуленда, багато користувачів при зміні паролів повторюють їх, використовуючи по черзі. Таким чином хакери можуть підібрати паролі, які використовувалися колись в минулому і тепер теоретично можуть бути використані через деякий час. Роуленд намагається зв’язатися з адміністраціями постраждалих ресурсів та переконати їх хоч щось робити з безпекою.

Ви можете перевірити власні дані з оброблених масивів за допомогою програми, представленої Інститутом Хассо Платтнера та інших програм. Наприклад, за допомогою haveibeenpwned.com. Після того, як Ви себе знайшли, — негайно змініть пароль на той, який ніколи не повторювався.

Роуленд дивується, що такі масиви не продають, а віддають у відкритий доступ безкоштовно. Окрім цього, в описі файлу міститься пряме прохання якомога більше його роздавати.

Але інші дослідники кажуть, що ця інформація вже використовувалася багато разів раніше, в тому числі і продавалася за великі гроші, тому там не може бути нічого актуального прямо зараз — вона вже знецінена і розповсюджується виключно як тренувальний матеріал. Принаймні так виглядала б ситуація з точки зору тих, хто цю інформацію добував вперше — вони нею покористувалися і віддали іншим.

Але, за словами Троя Ханта, хоч це і не найбільший злам в історії Інтернету, але вперше такий обсяг приватної інформації розповсюджується безкоштовно і практично відкрито. Все це робить захист приватності неординарною задачею.

Нагадаємо, нещодавно величезну базу даних із майже 773 мільйонами унікальними адресами електронної пошти та понад 21,2 мільйона паролів “злили” у Мережу. Папка з базою даних під назвою “Collection #1” має близько 87 гігабайтів та вміщує 12 тисяч файлів. Її оприлюднили у хмарному сховищі та “популярному хакерському форумі”. Загалом хакери виклали 1,1 мільярда унікальних комбінацій – поштових адрес та паролів.

Також хакерів у створенні вірусів та використанні їх для незаконного збагачення викрила Кіберполіція Українихакерів. Завдяки бот-мережі та отриманні доступу інфікованих вірусами комп’ютерів зловмисники ошукали українців більше, ніж на п’ять мільйонів гривень.

Ця стаття Гігантську базу на 2,2 мільярда логінів та паролів вільно поширюють в Мережі раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим