Безопасность в интернете: готовы ли пользователи противостоять киберугрозам?
Количество интернет-пользователей в России стремительно растет: осенью 2014 года месячная аудитория рунета достигла 72,3 млн пользователей, что составляет 62% населения РФ. Увеличивается и объем пользовательских данных в сети, ведь сегодня онлайн можно сделать практически все: от оплаты коммунальных услуг до покупки авиабилетов. Одновременно с этим растет и количество киберугроз. В прошлом году на весь мир прогремели Heartbleed, Shellshock, слив фото обнаженных знаменитостей из iCloud и многие другие события в сфере IT. При этом россияне находятся в большей опасности, чем зарубежные пользователи: по данным Лаборатории Касперского, во втором квартале 2014 года Россия заняла первое место среди стран, в которых пользователи подвергались наибольшему риску заражения через интернет.Но растет ли уровень знаний о том, как противостоять киберугрозам? Особенно учитывая, что сегодня в результате взлома аккаунта можно потерять гораздо больше, чем на заре рунета? Многие эксперты считают, что огромное количество пользователей до сих пор пренебрегают элементарными правилами, фактически сводя на нет своей беспечностью все усилия, прилагаемые онлайн-сервисами для повышения безопасности.
Мы проанализировали то, как российские пользователи обеспечивают свою безопасность в интернете, а также выяснили, насколько часто они сталкиваются с мошенничеством. В онлайн-опросе, проведенном с привлечением исследовательской компании Nielsen, приняли участие 1783 человека в возрасте от 15 до 64 лет, которые проживают в городах с населением свыше 100 тысяч человек и заходят в интернет хотя бы один раз в неделю.
Один из способов защиты логина и пароля при работе с различными интернет-сервисами заключается в использовании зашифрованного соединения по протоколу HTTPS. Проверить, включено ли у интернет-ресурса защищенное соединение, можно в адресной строке браузера; как правило, оно обозначается иконкой в виде замка (в зависимости от типа браузера). Такая проверка позволяет дополнительно убедиться в том, что сайт не является фишинговым.Исследование показало, что при вводе личных данных в почте и соцсетях почти в половине случаев пользователи не проверяют наличие значка безопасного соединения. Зато при совершении онлайн-платежей к проверке безопасного соединения обращаются почти в два раза чаще. В целом можно сказать, что пользователи онлайн-сервисов не придают особого значения наличию или отсутствию значка безопасного соединения.
Иногда при посещении различных сайтов пользователи сталкиваются с объявлением об ошибке сертификата безопасности веб-узла. Наличие таких ошибок может означать, что пользователя пытаются обмануть или хотят перехватить информацию, передаваемую на сервер. При появлении объявления рекомендуется прекратить работу с подозрительным ресурсом. С такими сообщениями сталкивалось большинство пользователей (три четверти). При этом 21% из них продолжили работу с сайтом. Интересно, что пользователи в возрасте до 34 лет почти в 2 раза реже обращают внимание на ошибку сертификата безопасности и продолжают работу с сайтом.
Для доступа как в электронную почту, так и в соцсети пользователи обычно используют закладки в браузере или ссылки на странице быстрого доступа. Такой способ является более безопасным, так как в этом случае пользователь защищен от опечаток, которые могут привести к попаданию на мошеннический сайт. Тем не менее, каждый десятый пользователь набирает адрес в браузерной строке.
Очевидно, что для наиболее важных сервисов рекомендуется заводить уникальные пароли. Ведь именно взлом сторонних ресурсов является основным способом кражи аккаунтов. Крупные сервисы постоянно работают над усилением своей безопасности, тогда как многие мелкие форумы, торрент-трекеры, онлайн-магазины пренебрегают такими вещами — и хакеры, зная об этом, атакуют именно их. Если при регистрации на слабо защищенном ресурсе человек указал тот же пароль, который он использует для почты, то в случае взлома ресурса хакер автоматически получает и доступ к ящику. Результаты исследования говорят о том, что одинаковые пароли для всех учетных записей используют 12% опрошенных. 36% респондентов используют разные пароли для наиболее важных, одинаковые — для наименее.
По результатам нашего исследования, в среднем пользователь рунета имеет три ящика электронной почты. Ниже мы отдельно рассмотрим использование основного ящика (единственный либо наиболее часто используемый в личных целях) и дополнительного.
Поскольку придумать разные пароли для всех аккаунтов достаточно сложно, многие эксперты рекомендуют использовать уникальные пароли для наиболее важных, включая почту и социальные сети, и одинаковые — для остальных. Однако 24% пользователей электронной почты используют пароль от основного ящика и на других ресурсах, из них около 2/3 пользователей почты используют тот же пароль в социальных сетях (62%), 27% — в онлайн-магазинах, 25% — в дополнительном почтовом ящике.
В идеале, менять пароли нужно раз в три месяца. Однако так поступает лишь пятая часть респондентов. Примечательно, что 22% участников исследования никогда не меняли пароль от своего основного ящика, а каждый третий — от дополнительного.
К смене пароля в социальных сетях пользователи прибегают редко — 38% меняют пароль не чаще раза в год, а 18% вообще никогда его не меняли.
Согласно современным стандартам безопасности, надежный пароль должен состоять не менее чем из восьми символов и представлять собой сочетание букв в разном регистре, цифр и специальных символов, подобранных по случайному или понятному одному лишь пользователю принципу. Пароль, состоящий из символов, букв и цифр используют лишь 26% респондентов. У большинства пользователей пароль состоит только из букв и цифр. 37% респондентов использует в пароле только строчные буквы. Причем среди обладателей относительно коротких (менее 8 символов) паролей такая беспечность встречается почти в полтора раза чаще, чем среди тех, чей пароль состоит из 8 символов и более (44% и 32% соответственно). 43% респондентов используют пароли длиной от 6 до 8 символов. 27% — от 9 до 10 символов. Лишь у 26% пользователей пароли имеют длину более 10 символов.
Почти треть пользователей используют в качестве пароля произвольный набор букв (29%), а еще 27% — выдуманное ими самими слово. 17% предпочитают использовать в пароле русское слово, набранное латинскими буквами, что является небезопасной опцией, поскольку злоумышленники тоже умеют переключать раскладку клавиатуры. Среди тех, в чьих паролях встречаются цифры, 17% используют дату рождения (свою или близких), 5% — номер телефона.
Большинство пользователей помнят пароли от почты и соцсетей наизусть, около 30% — записывают на бумаге. Специальными приложениями для хранения паролей пользуются лишь 3% пользователей.
Качество и частота смены пароля зависят, в основном, от пользователя. Однако сегодня у интернет-сервисов есть возможность влиять на уровень сложности задаваемых паролей. Многие ресурсы не допускают создания короткого
пароля без цифр. Так, например, в Почте Mail.Ru невозможно завести пароль: короче шести символов, совпадающий с логином, только из цифр или из цифр и точек и при этом короче 10 символов, являющийся словарным словом. Кроме того, в процессе создания пароля отображается оценка уровня его сложности и всплывают рекомендательные подсказки, призывающие использовать заглавные и строчные буквы, цифры и специальные символы. Нас также интересовало, какие меры безопасности принимают пользователи различных интернет-сервисов: какие методы восстановления пароля они используют, как относятся к приходящим в почту ссылкам, а также как оценивают защищенность своих аккаунтов. Отдельно задавались вопросы о мерах безопасности, к которым пользователи чаще всего прибегают при совершении онлайн-платежей.На сегодняшний день самым безопасным способом восстановления пароля считается привязка к номеру мобильного телефона. Этот метод восстановления пароля от основного ящика использует 68% респондентов. Тех, кто привязывает к номеру телефона дополнительный ящик, меньше — 41%. Чаще всего для восстановления пароля от дополнительного ящика используется секретный вопрос, что гораздо менее безопасно по сравнению с привязкой к номеру телефона, поскольку, по сути, представляет собой еще один пароль.
Один из распространенных методов взлома аккаунтов — фишинг. Типичный пример: пользователю отправляют ссылку на сайт, замаскированный под страницу авторизации на каком-либо популярном ресурсе. Человек вводит логин и пароль, которые тут же отправляются в руки злоумышленнику. Поэтому при переходе по ссылкам, которые приходят от незнакомых отправителей, нужно быть очень внимательным: лучше вообще не открывать их. Или, по меньшей мере, проверить адрес сайта. Результаты исследования говорят о том, что пользователи с осторожностью относятся к ссылкам, пришедшим на основной электронный ящик: 74% в таких случаях всегда внимательно проверяют адрес, прежде чем перейти по ссылке. Но в то же время люди менее бережно относятся к безопасности дополнительного аккаунта: реже меняют пароль, реже используют привязку номера телефона, предпочитая секретный вопрос для восстановления.
Рассмотрим, к каким мерам безопасности чаще всего прибегают пользователи при онлайн-платежах. В первую очередь они изучают информацию об онлайн-магазине в сети (60%). 27% стараются не совершать покупки в магазинах с бесплатным хостингом. 17% проверяют сертификат подлинности, выданный сайту. Еще 17% пользуются виртуальной клавиатурой, чтобы защититься от кейлогеров.
Помимо знания пользователей о возможных мерах безопасности, нам было интересно их мнение о том, насколько защищены их аккаунты в почте и социальных сетях. Почти половина пользователей считает, что их аккаунты в безопасности. Около трети обеспокоены незащищенностью своих почтовых аккаунтов, считая, что их ящики «совершенно не защищены» или «скорее не защищены». Защищенность основного и дополнительного ящиков в среднем оценивают одинаково.
Пользователи социальных сетей более не уверенны в защищенности своих аккаунтов. Кроме того, почти две трети пользователей опасаются, что информация, которую они публикуют в соцсетях, может попасть в руки мошенников.
На сегодняшний день с интернет-мошенничеством ежедневно сталкиваются десятки тысяч людей. Под «мошенничеством» понимается кража пароля от аккакунта и/или рассылка спама от имени пользователя в почте, соцсети, а также мошенничество при онлайн-платежах (например, списание средств с карты). Многие эксперты считают, что чаще всего пользователи страдают из-за собственной беспечности или невнимательности, сводя на нет усилия интернет-компаний по повышению уровня безопасности. Это подтверждают и результаты нашего исследования. Четверть участников исследования сталкивались с кражей пароля от основного ящика, причем 9% — неоднократно. У 17% респондентов был украден пароль от дополнительного ящика.
Наши респонденты чаще сталкиваются с мошенничеством в соцсетях, чем при использовании почты или совершении онлайн-платежей. Почти у половины пользователей социальных сетей (48%) воровали пароли, 58% получали мошеннические сообщения, половина сталкивались с рассылкой спама от своего имени.
В основном пользователи становились жертвами мошенничества по трем причинам: использовали простые пароли, скачивали вирусы, переходили на мошеннические сайты. При проведении онлайн-платежей использование простого пароля реже становится причиной столкновения с мошенничеством.
С мошенничеством в сети чаще всего сталкиваются люди в возрасте 15–34 лет, холостые или незамужние. Женщин среди них несколько больше, чем мужчин. Люди старше 45 лет чаще всего утверждают, что не сталкивались с мошенничеством в сети. Обычно они женаты (замужем) или состоят в гражданском браке. Мужчин среди них несколько больше, чем женщин.
В целом можно констатировать, что пользователи по-прежнему недостаточно внимательно следят за своей безопасностью в интернете. Так, почти две трети пользователей онлайн-сервисов когда-либо становились жертвами мошенничества (64%). Среди причин пострадавшие чаще всего называют простой пароль, скачанный вирус или переход на мошеннический сайт. Почти в два раза реже пользователи отмечают, что пострадали из-за использования одного пароля на нескольких сервисах или из-за того, что ответили на мошенническое сообщение. Среди жертв мошенничества на онлайн-сервисах больше пользователей в возрасте 15–34 лет, не состоящих в браке.При вводе личных данных (например, логина или пароля) почти половина пользователей онлайн-сервисов (почты, социальных сетей) не проверяют наличие безопасного соединения.
Каждый пятый пользователь никогда не менял пароль от основного почтового ящика, и каждый третий — от дополнительного. К смене пароля в социальных сетях пользователи прибегают редко: 38% меняют пароль не чаще раза в год, а 18% вообще никогда не меняли пароль.
Почти четверть пользователей электронной почты применяют пароль от основного почтового ящика на других ресурсах, из них 62% — в социальных сетях, 27% — в онлайн-магазинах и 25% — в дополнительном почтовом ящике.
К безопасности дополнительного ящика пользователи склонны относиться менее бережно по сравнению с основным: реже меняют пароль, реже используют привязку номера телефона, предпочитая секретный вопрос для восстановления аккаунта.
Всего четверть пользователей используют наиболее безопасный пароль, состоящий из символов, букв и цифр. У 43% пользователей длина пароля не превышает восьми символов, пароль состоит из букв и цифр (без использования специальных символов). Чуть больше трети пользователей (37%) используют в пароле только строчные буквы. Если говорить о цифрах, используемых в пароле, 16% выбирают дату рождения — свою или близких. Что касается буквенных элементов пароля, каждый шестой пользователь выбирает русское слово, набранное латинскими буквами, 8% — фамилию, имя или отчество, 7% — несколько слов подряд.
29% пользователей используют в качестве пароля произвольный набор букв и 27% — выдуманное ими самими слово.
43% респондентов используют пароли длиной от 6 до 8 символов. Чуть более четверти (27%) — от 9 до 10 символов. Однако можно предположить, что в основном это связано с тем, что сегодня многие онлайн-сервисы не позволяют пользователю ввести короткий и слишком простой пароль (так, при регистрации в Почте Mail.Ru или при создании нового профиля в Одноклассниках пользователь не сможет ввести пароль меньше шести символов и состоящий только из букв).
Для восстановления пароля от основного ящика большинство пользователей (68%) используют привязку к номеру телефона.
Пользователи с осторожностью относятся к ссылкам, пришедшим на основной электронный ящик: почти три четверти опрошенных (74%) в таких случаях всегда внимательно проверяют адрес, прежде чем перейти по ссылке.