Обложка: Кибербезопасность в интернете: советы эксперта

Кибербезопасность в интернете: советы эксперта

Меня зовут Давид Медведик, в настоящий момент я работаю в одной из передовых компаний занимающихся кибербезопасностью — Positive Technologies.

Я расскажу о том, как изменилось направление кибератак, как это повлияло на обычных пользователей, и дам советы по кибербезопасности.

Давид Медведик
Давид Медведик

Старший инженер-программист в компании Positive Technologies

Как изменился вектор кибератак за последние три года

В 2019 году вспыхнул всем известный биологический вирус — Covid-19, который стал причиной неожиданного всплеска цифровых вирусов. Условия пандемии вынудили большинство из нас уйти на удаленку, а бизнес — резко адаптироваться к сложившимся обстоятельствам. В итоге мы получили ситуацию, когда все сидят дома и вынуждены вести различную деятельность через сеть: школьники, студенты, их родители. При этом используя зачастую программное обеспечение, которое не рассчитано на такие нагрузки и во многих случаях не защищено на достаточном уровне.

Также многие пользователи не осведомлены о возможных угрозах, например, скрывающихся за фасадом огромной светящейся кнопки «СКАЧАТЬ видео с милыми щенятами». Согласно статистике PurpleSec по кибербезопасности в 2021 году, за последние три года количество кибератак выросло на 600% и, к сожалению, эта цифра не в пользу рядовых пользователей. Если изучить кибератаки трехлетней давности, то мы увидим, что часто создавались различные сложные схемы вымогательств денег у компаний.

Сегодня же, из-за огромного количества пользователей в онлайне, хакеру достаточно разработать простую схему и масштабировать её на большое количество пользователей, чтобы получить ту же сумму денег, что и со сложной схемой для компаний. Этим самым количество хакеров увеличилось, и их вектор атак сместился на обычных пользователей. При этом сам уровень подготовки таких хакеров невысок: некоторые схемы невероятно элементарны, поэтому «имя им — легион».

Какая наиболее частая уязвимость

Ответ очевиден — чаще всего ломают пароли. Да, пароли и ещё раз пароли. Все мы знаем, что пароли нужно с регулярной частотой менять, но, согласно статистике Википедии, наш любимый пароль все ещё в топе — «123456», как и вся десятка самых часто используемых паролей, взламываемых на ура.

Гарантирует ли сложный, часто меняющийся пароль защиту от взлома

К сожалению, нет. В настоящий момент даже сложные пароли можно обойти либо узнать о них через сторонние сервисы. Например, если мы используем схожие пароли на разных ресурсах, то утеря одного пароля всё ещё влечет за собой последствия в виде взлома других. Но не стоит отчаиваться, выход есть, и он достаточно прост: можно использовать связку пароля и SMS-кода подтверждения.

Пример кода двухфакторного подтверждения

Решение достаточно хорошее и проверенное, почти все банки пользуются им.

Небольшое отступление касающиеся SMS, дело в том, что сети операторов могут быть подвержены большому количеству атак, и вероятность утери вашего пароля велика, поэтому рекомендуется использовать push-уведомления. Такие оповещения отправляются в сети интернет по более защищенным протоколам.

Но тут есть небольшой нюанс, даже если вы регулярно меняете пароли, используете SMS/push, это все ещё не гарантирует сохранность ваших данных. Если так случилось, что вдруг вы потеряли свой телефон, в чехле которого лежала ваша кредитная карта, и вы установили на любую операцию списания подтверждение кодом, то казалось бы, должны быть в безопасности, но, к сожалению, это не так.

Если злоумышленник завладеет вашим телефоном и попытается списать кругленькую сумму с вашей карты, то на заблокированном экране он увидит SMS- или push-нотификацию с кодом, что-то вроде такого:

Пример отображения текста сообщения на заблокированном экране

Дело в том, что содержимое нотификаций отображается на заблокированном экране. Это бывает очень удобно рядовым пользователям: не нужно разблокировать телефон, чтобы вбить код подтверждения, но ещё более удобна эта функция вашего телефона для злоумышленников. Если вы переживаете за сохранность ваших средств, рекомендую выключать всплывающие сообщения на заблокированном устройстве.

Какой самый безопасный способ авторизации

В разрезе кибербезопасности 2021 года наиболее эффективным способом с наименьшим количеством уязвимостей считается двухфакторная аутентификация.

Советы по кибербезопасности

Особенность двухфакторной аутентификации в том, что кроме статического пароля, который вы помните, у вас есть отдельное приложение, на которое будет приходить временный пароль, только после ввода которого вам будет дан доступ к ресурсу. Данный тип приложений, которые выдают временные пароли, обладает высоким уровнем безопасности и использует несколько шифрованных каналов для минимизации вероятности взлома. И в завершение темы паролей я бы хотел добавить, что на текущий момент лучше всего хранить пароли на листочке, если его увидит кто-то их ваших близких не так страшно, как злоумышленник. Ни в коем случае не носите такой листочек вместе со своим смартфоном!

Плохой совет по кибербезопасности

Рекомендации по использованию кредитных карт

По использованию кредитных карт важно отметить два момента. Первый — деньги чаще всего являются основным мотивом взлома, и в реалиях кибербезопасности 2021 года это особенно актуально. Второй момент в том, что можно потерять деньги, не теряя при этом данные кредитной карты.

С наступлением локдауна детские и подростковые развлечения перешли в зону онлайна: онлайн игры, социальные сети. И многие родители поддержали такое поведение, отдавая смартфон или другое устройство своему ребенку, чтобы отвлечь его и спокойно поработать. Казалось бы, решение достаточно простое: и ребенок занят, и родители могут спокойно поработать, что тут могло пойти не так. Согласно опросу SellCell 2020 года, примерно 8,2% родителей заявили, что их дети тратят ежемесячно более 100 долларов США на покупки в мобильных играх. К сожалению, собираемой статистики именно по школьникам не так много, но за последние пару лет количество историй, когда ребенок посидел несколько часов в телефоне, а спустя время родители обнаруживают на балансе трёхзначный минус, случаются всё чаще и чаще. Это же можно и проследить по суммарной выручке мобильных игр за время локдауна, которая уже превышает 80 биллионов долларов США, и при этом прогнозируется и дальнейший рост:

Статистика покупок в мобильных приложениях за 2019 год

Что делать

Решение есть. Я, конечно же, не призываю никого переключать внимание своих детей на мобильные игры или наоборот полностью заблокировать доступ, но если уж вы решили использовать данный способ, лучше делать это правильно. Для решения данной проблемы рекомендуется заводить семейный счет. Сейчас для детей до 18 лет можно открыть отдельную кредитную карту с определённым лимитом и переводить туда некую сумму денег каждый месяц. При этом важно также проводить и финансовое воспитание ребёнка. Так, например, ребёнка можно поощрять некоторыми бонусами за помощь по дому или другие достижения. Тем самым у детей уже с ранних лет будет формироваться навык обращения с деньгами, а не просто перевод одних монеток со счета мамы или папы в монетки в его любимой игре.

Рекомендации по использованию зарплатных карт

Сейчас хочу рассказать вам, как правильно использовать зарплатную карту для покупок, и ответ тут прост:

Рекомендации по использованию зарплатных карт

Запомните, никогда и не при каких обстоятельствах не используйте зарплатные карты для покупок. Даже если вы уверены, что сайт, на котором вы намерены совершить оплату, защищен всеми возможными способами, могут быть уязвимости на сети провайдера, на стороне хранения данных: так или иначе ваши данные карты могут быть утеряны! Таковы реалии кибербезопасности в интернете в 2021.

Лучше всего использовать отдельную кредитную карту для оплаты покупок. Когда вам нужны средства, то вы делаете перевод на счет, а уже затем на ту карту, которой вы обычно расплачиваетесь. Не держите крупные суммы денег на таких картах! Согласитесь, не так обидно потерять 5000р, как 50000р.

Советы по кибербезопасности в 2021 году

  1. Регулярно обновляйте пароли.
  2. Используйте двухфакторную аутентификацию.
  3. Оформляйте отдельные банковские карты для детей.
  4. Ограничивайте доступ приложениям.
  5. Убирайте геолокацию.
  6. Настраивайте приватность в соцсетях.
  7. Используйте почту для пересылки документов.
  8. Оформляйте отдельные кредитные карты для покупок.
  9. Обновляйте ПО по расписанию.
  10. Скачивайте ПО только с официальных сайтов
  11. Не используйте публичные Wi-Fi.
  12. Используйте антивирусы.
  13. Не открывайте и не отвечайте на
    подозрительные письма.
  14. Отдавайте предпочтение мобильной версии ресурса, а не сайту.
  15. Делайте бэкапы.