Популярные темы

О надежных паролях, опасных сайтах и защите от фишинга рассказал эксперт из Семея

Дата: 19 февраля 2021 в 18:38 Категория: Новости интернета


О надежных паролях, опасных сайтах и защите от фишинга рассказал эксперт из Семея

Фото: Arnapress.kz

Эксперт из Семея в беседе с корреспондентом Arnapress.kz рассказал, какие методы обычно используют злоумышленники и как уберечься от утечки личных данных.

Руководитель веб-студии Web-Triton, специалист в сфере информационной безопасности Михаил Соколов дал практические рекомендации по выбору пароля, распознаванию фишинговых ссылок и приложений, а также назвал примеры поведения в Сети, от которых лучше всего воздержаться, чтобы конфиденциальная информация была целее.

– Что представляет собой информационная безопасность? Каким образом могут похитить личные данные пользователя?

– Существуют различные фишинговые сайты по типу ВКонтакте, Facebook, WhatsApp, Instagram. Фишинговые сайты выглядят так же, как и официальные, но они замаскированы под другим доменом. Домен – это имя сайта, по которому находится тот или иной ресурс в Интернете. Например, VK.com. ».com» – это домен. Существуют различные махинации по типу «VK1/2/3.com». Вроде бы похоже, изначально значения не придаешь. Но когда ты вводишь логин и пароль, данные уходят мошеннику, ты каким-то чудным образом оказываешься у себя на странице ВКонтакте. При этом ты даже не подозреваешь, что все твои данные уже утекли. Это один из способов фишинговых атак на социальные сети.

Существуют также и фишинговые банковские сайты, фишинговые магазины. Зашел, оплатил – деньги ушли неизвестно куда, а товар не пришел.

Пример официального сайта ВКонтакте:

Пример фишингового сайта ВКонтакте:

– На эти сайты пользователь попадает через поиск?

– Через поиск, либо на каких-нибудь форумах, бывает, оставляют ссылки. Не все же темы на форумах проверяют админы, некоторые проходят незамеченными.

– Как можно распознать такую ссылку?

– Обычно все сайты ставят сертификат безопасности SSL, и у тебя в адресной строке будет адрес защищен. Будет написано «не защищено» и какой-то адрес. На таких сайтах лучше не оставлять какие-либо данные, потому что все эти сайты могут прослушиваться и просматриваться злоумышленниками.

Примеры незащищенного соединения:

– С какой целью чаще всего совершаются фишинговые атаки и какие именно данные могут похитить?

– Данные похищают с целью продажи. Самые разные, начиная от имени и фамилии, и вплоть до того, какого цвета у тебя кровать. Нет такого, что есть какой-то определенный человек и надо все данные по нему собрать. Собирают часть данных, чтобы в дальнейшем можно было либо как-то спровоцировать, либо шантажировать.

– Когда приходят сообщения по типу «Вы выиграли миллион» и тому подобные, как в таких случаях поступать?

– Игнорировать такие сообщения.

– А если человек случайно открыл эту ссылку, это значит, что его данные уже точно похитили, или еще есть вероятность, что не все так плохо?

– Это еще не факт. Очень давно была такая игра, как «Синий кит». Тогда до такой степени не был защищен Интернет, что злоумышленник мог узнать пол человека, который перешел по ссылке, его страну, IP-адрес, фактический адрес и местонахождение. Сейчас в браузерах стоит хоть и простая, но система отслеживания таких ссылок. И как только ты захочешь перейти на такой сайт, тебе браузер выдаст предупреждение о том, что сайт мошеннический.

– А если ты все-таки перешел на этот мошеннический сайт, можно ли в этом случае как-то избежать утечки данных?

– В большинстве случаев у нас в Казахстане IP-адреса динамические, простая перезагрузка телефона или компьютера уже поможет. Но факт в том, что какая-то часть данных уже может уйти.

– А с какой целью чаще всего взламывают социальные сети?

– Похищение переписки, получение личной выгоды и финансов.

– Существует мнение, что из социальных сетей (к примеру, ВКонтакте) нельзя переходить в сторонние приложения, например, такие как опросники и тесты вроде «Кем ты был в прошлой жизни?» Может ли это грозить потерей конфиденциальной информации?

– Сама по себе социальная сеть ВКонтакте особо популярна. И многие знают, что она продает данные пользователей. Это пытались подтвердить в течение года, но в итоге все ресурсы, содержащие доказательства того, что ВК продает данные, были удалены.

– Есть ли какие-то критерии безопасности при скачивании приложений в телефон?

– Начнем с того, что в том же ВКонтакте есть открытые Appi – это приложение для разработчиков. То есть в ВК есть свой открытый программный код, который могут использовать разработчики для дополнения к социальной сети. Допустим, если я хочу создать свой плеер и знаю, что ВКонтакте есть музыка, я беру приложение музыки и разрабатываю свой интерфейс на основе кода ВКонтакте. Абсолютно любой человек может сделать свой «клиент» ВКонтакте и может им пользоваться. Также он может его распространять, при этом поля «логин» и «пароль» он может отсылать к себе на почту и делать какие-то манипуляции по типу входа в свой профиль. Естественно, так можно перехватывать данные пользователей, и тогда скопится база. То есть у разработчика будет доступ к страницам всех, кто воспользуется его приложением.

– А можно ли как-то узнать, что это приложение дополнительно разработано кем-то?

– Конечно, в Play Market пишется разработчик и связь с ним. Если ты скачиваешь на каком-то стороннем ресурсе, естественно, доверия к нему не может быть никакого. Даже если миллиарды людей подтвердили, что это безопасно, это не официальное приложение, и разработчик может перехватывать данные, а после делать с ними что угодно.

– Некоторые приложения запрашивают доступ к личным данным, контактам, геолокации и другой информации, хранящейся на устройстве. Допустимо ли, если, к примеру, подобные сведения запрашивает приложение вроде обыкновенного фонарика?

– Нет. Сразу в корзину такое приложение. На новых устройствах, прежде чем выдать доступ, система несколько раз спросит: «Точно ли вы хотите дать доступ этому приложению к контактам или к камере?» Просто нажимаешь «отклонить» и удаляешь это приложение.

– А что касается приложения Getсontakt, с помощью которого можно узнать, как твой номер телефона подписан в контактах других людей, на самом ли деле это приложение может воровать личные данные пользователей?

– Насчет Getсontakt история была раздута до ужаса, но факт в том, что вся эта информация подтвердилась. Да, Getсontakt «сливал» данные, потому что у них это было прописано в их политике, которую никто не читает. Они официально «сливали» данные к себе на серверы, у них это все хранилось.

– Насколько безопасно хранить на устройстве банковские приложения? И можно ли защитить коды доступа и пароли от них с помощью каких-либо специальных программ?

– Хоть какие программы ставь, ты не защитишь свой телефон на 100%. Возьмем в качестве пример точку доступа Wi-Fi в кафе. Ты заходишь, оплачиваешь счета за коммуналку и прочее, в этот момент какой-нибудь «дядя Петя» сидит с ноутбуком и перехватывает все твои данные, хотя вы просто подключены к одной Wi-Fi Сети. То есть желательно вообще не пользоваться общедоступными сетями Wi-Fi. И на домашнем Wi-Fi менять пароль хотя бы раз в месяц, потому что Wi-Fi взломать очень легко. А через него уже получить доступ ко всему трафику, который «льется» с твоего телефона.

– Что касается выбора пароля, некоторые говорят, что ко всем сервисам удобно подобрать один пароль, другие ни в коем случае не советуют так делать? Как все-таки правильнее?

– Естественно, на одном сервисе должен быть один пароль, на другом – другой. Если у тебя один пароль сразу от нескольких сервисов, то, взломав один, злоумышленники получают доступ и к остальным.

– Каким образом злоумышленники взламывают пароли? Если, допустим, это абсолютно незнакомый им человек, у которого в пароле может быть зашифрована какая-то личная информация?

– Подбирают. Начнем с простого, многие пользователи ставят в пароли дату рождения, год рождения сына, появление первой собаки и так далее. Зная дату рождения, уже можно начать подбор. Из ста сервисов к одному подберется пароль.

– Какие пароли лучше всего устанавливать? Какие символы можно использовать для этих целей?

– От 15 символов. Разные символы, буквы верхнего, нижнего регистра, всякие решетки, звездочки, спецсимволы.

– Есть ли какие-то специальные сервисы, с помощью которых можно сгенерировать пароль?

– Есть, но они в закрытом доступе, а доступ к ним платный.

– Если тебе сгенерировали пароль с помощью определенного сервиса, есть какие-то гарантии его надежности и какова вероятность того, что сами разработчики потом не воспользуются этой информацией?

– У меня есть сервис под названием пароль.kz. Это сервис, который генерирует пароли от одного до 50 символов. Планировался он для личных целей, для личного тестирования, но в итоге получилось так, что сервис увидел свет. Сейчас он доступен. Он полностью анонимный. Хотя, когда он создавался, все пароли собирались в базу. То есть, если пользователь сгенерировал пароль, этот пароль попал в базу, и я мог знать его местоположение, марку и модель компьютера, и я, грубо говоря, мог просто зайти на его компьютер и использовать тот пароль, который он сгенерировал. Сейчас сервис полностью конфиденциальный, пароли не собираются.

– Дает ли какие-то гарантии информационной безопасности использование VPN?

– VPN был придуман для того, чтобы зайти на ресурс, который заблокирован у тебя в стране. Допустим, я из Казахстана хочу зайти на сайт, который работает только на территории России, у меня выйдет ошибка. Я подключаю российский VPN, то есть у меня российский IP-адрес под маской, то есть скрыт. У меня основной казахстанский, а на него накладывается российский. И я могу попасть на этот сайт. Изначально сервис придумывался для того, чтобы зайти на сайты, которые заблокированы либо не работают на той или иной территории. А уже потом ими начали злоупотреблять.

– Что подразумевается под злоупотреблением?

– По типу тех же краж данных. Обычное расширение в Chrome может собирать много гигабайт данных, вплоть до того, какие файлы ты скачал или удалил.

– Многие сайты запрашивают разрешение на сбор cookies. Может ли это чем-то грозить пользователю?

– Нет. Нажимая «да», ты просто подтверждаешь свое согласие на то, что ты разрешаешь использовать cookiе-файлы. Это временные файлы. Вернемся к ВКонтакте. Указывая при регистрации дату рождения, ты знаешь, что она будет где-то высвечиваться. В cookiе-файлах хранится информация, которая не особо важна, потому что зайти в настройки браузера и изменить cookiе не так уж сложно. Если злоумышленник получит cookiе, то он увидит там максимум твою дату рождения, но не увидит, кому ты отправляешь сообщения. Еще один пример cookiе-файлов – это темная тема на сайте. Допустим, ты хочешь использовать темную тему, хотя сайт по стандарту идет в светлой теме, если ты увидишь кнопку «темная тема» и хочешь использовать ее именно на этом сайте, тогда в cookiе записывается, что такой-то пользователь хочет использовать темную тему. Когда ты в дальнейшем вернешься на сайт, сервер проверит cookiе и сразу выдаст сайт с темной темой.

– Дает ли какие-то гарантии окно в режиме «инкогнито» в браузере?

– Никаких. Потому что история не сохраняется только у тебя на компьютере либо на телефоне. Тот, на чей сайт ты переходишь, видит, что от тебя был визит. Твой интернет-провайдер видит, что ты заходишь на эти сайты. Окно «инкогнито» – это уже чисто личное пространство, то есть о тебе знают администраторы и разработчики сайта и твой интернет-провайдер, но не знает мама, папа, бабушка или дедушка.

– Правда ли, что собирать информацию могут не только на основе запросов, которые ты вводишь в поиск, но и даже просто прослушивая через устройство повседневные разговоры людей, и уже на основании этого предлагать какую-либо рекламу?

– Да. Был случай где-то в Америке. Студент решил провести эксперимент. Сначала, когда он первый раз заметил это, он не поверил. А потом он на протяжении недели перед включенным ноутбуком постоянно произносил название одной и той же фирмы, которая производит собачий корм. После недели того, как он ежедневно называл эту фирму, у него в браузере начала выскакивать реклама именно этой фирмы и именно этого корма для собак. То есть когда сидишь перед ноутбуком, лучше всего разобрать и извлечь из него микрофон.

– Нужно ли заклеивать камеру на ноутбуке?

– Это распространенный вопрос, на который я всегда отвечаю «да».

– Были ли у вас лично такие ситуации, когда похищали конфиденциальные данные?

– В 2016 году была уязвимость в контакте на токены групп. Это относится к коду Appi ВКонтакте. По этому токену можно было получить полное управление группой. Это была ошибка самих разработчиков, они просто недоглядели. Но эта уязвимость была на протяжении полугода. Я перехватил несколько групп под полное управление. Когда в очередной раз перехватывал какую-то из групп, у меня на компьютере просто открылось окно, где было написано что-то вроде «Не делай этого, иначе пожалеешь». После чего, естественно, пришлось завязать и просто купить новый компьютер. Прежний компьютер был абсолютно рабочий, просто я знал, что если у меня на рабочем столе открывается окно, где что-то пишется, это явно уже означает, что мой компьютер полностью захвачен и поделать с этим уже ничего нельзя, как только выдернуть его с розетки, утопить в кислоте и купить новый.

– А возможно ли сделать что-то, если тебе угрожают, что похитили персональные данные? Проверить каким-то образом?

– Конечно, можно проверить, но это зависит от времени. Если есть достаточно времени, то, как вариант, можно обратиться в компании, которые занимаются информационной безопасностью. Но нужно быть готовым к тому, что придется тратиться. К примеру, какая-нибудь частная компания может взяться проверять за сумму от 20 до 50 долларов.

– Некоторые специалисты в сфере информационной безопасности рекомендуют оставлять как можно меньше «цифровых следов». Означает ли это, что совсем не нужно публиковать фото, указывать местоположение, рассказывать какие-либо факты из своей жизни в соцсетях?

– Насчет местоположения, Instagram очень хорошо шифрует свои данные. То есть это уже в зависимости от желания самого пользователя, если ты хочешь отметить местоположение, отмечай, просто нужно быть готовым к тому, что сам Instagram может слить, и какой-нибудь твой плохой друг узнает, что, допустим, ты был в Дубае в таком-то номере отеля и так далее.

– Если человек хочет как можно больше данных о себе удалить из Сети, он может это сделать?

– Может, но времени понадобится от полутора до двух лет, чтобы полностью все стереть.

Екатерина БОБКО

Фото предоставлены Михаилом Соколовым

По сообщению сайта Arna Press

Тэги новости: Новости интернета Семей
Поделитесь новостью с друзьями