Как защитить свои данные в интернете — Базовые рекомендации от российского эксперта Google

Редакция vc.ru попросила менеджера по развитию отношений с партнерами компании Google Андрея Липатцева проанализировать последние исследования в области сетевой безопасности и напомнить основные принципы защиты личных данных.

109a5b8fa8555a.jpgАндрей Липатцев

Существует два уровня опасности. Первый — это непосредственно сами угрозы безопасности. Второй — это то, почему эти угрозы оказываются возможными, то есть поведение пользователей. Они очень часто используют слабые пароли (123456 или password) или создают один и тот же пароль для разных ресурсов.

Согласно результатам исследования компании Gigya, за последний год были взломаны аккаунты более четверти респондентов (26%). В разных возрастных группах количество пользователей, которые подверглись взлому, различается:

  • 35% молодых людей и девушек, родившихся в период с 1980 по 2000 год (миллениалы);
  • 28%, родившихся с 1965 по 1979 год (поколение Х);
  • И 18%, родившихся в период с 1943 по 1964 год (беби-бумеры).

При этом сложные и защищенные пароли придумывают только:

  • 33% миллениалов;
  • 42% представителей поколения Х;
  • 53% беби-бумеров.

Поведение пользователей

Процент людей со слабыми паролями даже на наших сервисах огромный. Для взлома таких аккаунтов не нужен даже брутфорс — многие злоумышленники знают о слабостях пользователей и первым делом проверяют именно «стандартные» пароли.

Поэтому первая рекомендация звучит очевидно, но именно она поможет не стать жертвой злоумышленников: придумайте сложный пароль и используйте его разные вариации на разных сайтах.

Сложный пароль не дает защиту и стопроцентную гарантию от взлома: просто хакерам потребуется гораздо больше времени, чтобы его подобрать. Поэтому велик шанс, что они решат бросить это занятие и переключатся на менее защищенные аккаунты.

Один из способов создать сложный пароль — это придумать «пасс-фразу». То есть закодированное запоминающееся предложение. Например: «Я впервые поехал в Сочи летом 2000 года». Чтобы составить пароль, используем первые буквы: «ЯвпвСл2 г». Дальше мы можем написать их транслитом: YavpvSl2g. Или же набрать русскими буквами в латинской раскладке, так будет еще сложнее: ZdgdCk2u.

Главное, чтобы фразу было легко запомнить и вспомнить. Для разных сайтов нужен свой пароль. За основу мы можем взять пасс-фразу и добавить к ней название сервиса, на котором регистрируемся (например ZdgdCk2uFB или ZdgdCk2uVK — прим. ред.).

У меня зарегистрировано очень много аккаунтов на разных ресурсах. И до того, как я узнал про пасс-фразы, я по старинке записывал пароли от каждого сайта в блокнот. Это не удобно и не безопасно.

Второй способ требует чуть больше технических навыков, но я надеюсь, что у каждого в семье или среди друзей есть люди, которые могут помочь. Это использование двухфакторной (или двухшаговой) аутентификации.

Это защита аккаунта с помощью не только имени пользователя и регулярного пароля, но и одноразового пароля. Он запрашивается при входе на ресурс с нового компьютера или из необычного места. Одноразовый пароль приходит в виде SMS или генерируется при помощи специального приложения. Также можно настроить авторизацию при помощи USB-токена. Все это понижает вероятность того, что кто-то с чужого компьютера может войти в ваш аккаунт.

Вариант с SMS удобен для менее опытных пользователей и для тех, кто не хочет возиться с настройкой токенов. Единственное, я слышал от некоторых пользователей, что у них возникают проблемы с SMS-аутентификацией при отъезде за границу, потому что, например, до них не доходят SMS или возникают другие проблемы из-за роуминга. Поэтому я склоняюсь в пользу специального приложения для генерации одноразовых паролей.

Угрозы

За последний год они, на мой взгляд, сильно не поменялись. По данным исследования Международного консорциума по борьбе с фишингом, в первом квартале 2016 года было выявлено 20 миллионов новых угроз, то есть в среднем по 227 тысяч в день. На первом месте находится троянское ПО:

03a255c5d2406b.jpgИсточник: APWG Phishing Activity Q1 Trends Report

Чаще всего пользователи сталкиваются с угрозами фишинга и социальной инженерии, когда у них обманным путем пытаются выманить их личную информацию, информацию об их аккаунте, информацию об их счетах и финансах, паспортные данные, и так далее.

Социальная инженерия — это попытка обманным путем войти в доверие к пользователю с целью получения у него той или иной информации или выполнения определенный действий — что-нибудь скачать, отправить, установить.

Обычно хорошая социальная инженерия и фишинг не вызывают подозрений — в этом-то и заключается их опасность. Но если вы обращаете внимание на какие-то необычные процедуры, следует сразу бить тревогу.

Например, ваш банк раньше никогда не запрашивал пароль, а тут вдруг спросил. Прежде чем на что-то нажимать, свяжитесь со своим банком. Лучше уточните, действительно ли это письмо отправили они, или же это кто-то «левый».

Это происходит как по электронной почте, так и при посещении веб-сайтов. Поэтому, читая сообщения в электронной почте и посещая другие ресурсы, важно убедиться в том, что отправитель или сайт являются теми, за кого они себя выдают.

С десктопа это сделать проще, чем с мобильных устройств: достаточно обращать внимание на адрес, куда ты попадаешь. Наиболее надежные сайты, которые используют защищенное соединение с реальным провайдером, маркируются соответствующим значком:

Подделать такое соединение невероятно тяжело. В почте с недавнего времени (в частности, и в Gmail) также появилась возможность отправителям верифицировать себя. Большинство банков, крупных компаний и финансовых учреждений верифицируют свои почтовые аккаунты, поэтому, когда их клиенты получают от них сообщения, они могут быть уверены в достоверности отправителя.

HTTPS-соединение не гарантирует, что на сайте нет вредоносного контента. Этот протокол служит гарантией того, что сайт не выдает себя за какой-то другой ресурс. То есть при обмене данных третье лицо не сможет их перехватить.

Со следующего года в Chrome все сайты, которые не используют HTTPS-соединение, будут помечаться особым образом. Это не значит, что они не безопасны для пользователей, это означает то, что они не используют защищенное соединение. Таким образом и мы, и другие производители ПО хотим подтолкнуть вебмастеров к переходу на HTTPS-подключение, чтобы уменьшить вероятность перехвата данных пользователей.

Также продолжается распространение зловредного ПО. Если 5–10 лет назад мы говорили о программах для компьютеров, то сейчас большинство вредоносных приложений создается для мобильных устройств.

По степени зараженности Россия находится на шестом месте, а первую тройку вошли Китай, Турция и Тайвань. Наименее зараженными странами считаются Финляндия, Норвегия и Швеция.

5f4cca158375e2.jpgИсточник: APWG Phishing Activity Q1 Trends Report

Наибольшее количество зараженных сайтов находится в США:

01700f9e727863.jpgИсточник: APWG Phishing Activity Q1 Trends Report

На Android это происходит при установке приложения не из официального магазина. При скачивании приложений со сторонних источников повышаются шансы заражения устройства. Сейчас в России таких случаев фиксируется меньше, но это все равно опасно.

Помимо зловредного ПО существует также нежелательное ПО. Оно не обязательно будет воровать данные, скорее — мешать пользователю. Например — менять рекламу при посещении сайтов. Угрозы не меняются, но растет информированность пользователей, и это хорошо. Смена паролей, двухфакторная аутентификация, а также антивирус для пользователей Windows, Linux и Android сокращают кражу личных данных.

©  vc.ru