В прошлой заметке из серии «Цифровая гигиена» мы закончили на том, что не нужно вводить свои пароли где попало. В принципе, это справедливо не только для паролей, но и для любой другой информации, которая не предназначена для посторонних глаз либо иных органов чувств. Что это может быть за информация? Например, реквизиты банковских карт, коды подтверждения оплаты, входа или ещё чего-нибудь важного из той же серии. Поэтому, говорим «пароли» — подразумеваем «любая конфиденциальная информация».
Как это ни банально, но эта простая рекомендация актуальна и в этой заметке. Собственно, она всегда актуальна. Не будешь думать ты, подумают за тебя (причём, крайне маловероятно, что в твою пользу).
Помните, что говорят правила обычной гигиены про зубные щётки? ;-)
Мало ли что установлено из «шпионского» программного обеспечения на посторонних компьютерах и мобильных устройствах. Свои то вы хоть более-менее можете контролировать, а вот что происходит с чужими?
Нет, я не утверждаю, что все устройства ваших знакомых либо компьютеры в интернет-кафе и других пунктах общественного доступа в интернет сплошь и рядом усеяны программами, исправно запоминающими, что вводят пользователи с клавиатуры (key loggers), и прочим шпионским программным обеспечением, но такой риск имеется. Так что делайте это только в крайнем случае.
Если уж пришлось вводить пароль на чужом устройстве, не поленитесь изменить его со своего как можно скорее.
Довольно распространённым способом узнать пароли пользователей — обманным путём заставить их ввести свои данные на фальшивом сайте, который внешне может напоминать настоящий. Обращайте особое внимание на адрес (доменное имя) сайта и, если он не совпадает с оригинальным, дважды подумайте, прежде чем что-либо там вводить. Подробнее о фишинге написано в Википедии.
Фальшивку, обычно, подсовывают в письме по электронной почте или сообщении в каком-либо мессенджере. Иногда даже не особо шифруясь. Например так: https://apple.com/. Пользователь ожидает по клику (тапу) перейти на сайт Apple. На деле же попадает на другой сайт. В примере это два совершенно разных сайта на двух совершенно разных доменах. В реальной жизни фальшивка может оказаться до неузнавания близкой к оригиналу (свежий пример). Поэтому внимательно читайте письма или сообщения и думайте, прежде чем кликать и тапать по ссылкам. Помните, сообщение может поступить от учётной записи человека, которому вы очень даже доверяете. Однако, совсем не обязательно, что отправил его именно он.
Как понять, что трафик между браузером вашего устройства и сайтом шифруется? Если вкратце, то в адресной строке браузера адрес сайта начитается с https://
(ВНИМАНИЕ! Именно с https://
, а не с http://
) и браузер не ругается на сертификат безопасности сайта.
Для наглядности, покажу всё на картинках. Картинки (скриншоты) делались в Chrome под Windows. В других браузерах и других операционных системах внешний вид адресной строки может быть несколько иным.
Официальный сайт Президента Республики Казахстан не использует шифрование для передачи трафика от себя к пользователям (адрес начинается с http://
). Об этом словами «Не защищено» предупреждает браузер в адресной строке. В принципе, в этом нет ничего особо страшного до тех пор, пока на сайте нет функционала, требующего ввода конфиденциальной информации. Надеюсь, для входа в админку сайта трафик, всё же, шифруется.
Кабинет налогоплательщика Комитета государственных доходов Министерства финансов Республики Казахстан для шифрования трафика использует сертификат безопасности Национального удостоверяющего центра Республики Казахстан, который популярные браузеры и операционные системы не считают доверенным (браузер ругается на сертификат безопасности). Такая же реакция будет и на любые сертификаты, не подписанные доверенными центрами сертификации. При использовании таких сертификатов нельзя заранее сказать, это именно тот сертификат, который использует владелец сайта, или кто-то его подменил на свой? Т.е. имеется риск, который, чаще всего, расписывают в предупреждающем сообщении в адресной строке браузера и на странице. По возможности, воздержитесь от посещения таких сайтов и, тем более, от ввода там своих паролей.
В третьем примере рассмотрим сайт портала закупок «Самрук-Казына». Здесь всё в порядке, используется действующий доверенный сертификат безопасности, трафик шифруется. Соответствующая информация отображается в адресной строке браузера.
В первых же двух случаях ваш пароль может быть перехвачен на пути от вашего браузера до сайта, со всеми возможными вытекающими из этого последствиями.
Как можно определить, взломали сайт или нет? В общем случае, никак. Даже серьёзные компании, уделяющие серьёзное внимание кибербезопасности, не застрахованы от взлома. Здесь можно только посоветовать мониторить информационное пространство об «успешных» инцидентах (например, подписаться на тематические рассылки или телеграм-каналы) и, в случае чего, действовать по ситуации: от банальной смены пароля до немедленной блокировки и перевыпуска банковских карт.
Если раньше нас, в основном, пытались убедить ввести (сообщить) конфиденциальную информацию на сайтах-фальшивках через сообщения, то сейчас всё больше включаются в работу телефонные звонки.
Это, например, может быть «сотрудник банка» под любым предлогом пытающийся вытянуть из вас кодовое слово, пин-код от карточки или ещё что-либо полезное.
Это может быть «покупатель», пытающийся получить от вас код подтверждения операции (по банковской карте).
Это может быть «сотрудник службы поддержки» используемого вами сервиса электронной почты, чтобы обманным путём заполучить пароль от вашей учётной записи.
Как вы понимаете, вариантов не счесть, конца им нет и не будет. Мошенники весьма изобретательны. Они могут знать о вас многое: ФИО, дату рождения, адрес регистрации, номера удостоверяющих личность документов, ИИН. В общем, не ведитесь на осведомлённость.
Что же делать, как защитить себя от существующих и ещё непридуманных схем? Быть бдительными. А если более конкретно, то:
- никогда, никому, ни при каких обстоятельствах не сообщайте реквизиты банковской карты;
- никогда, никому, ни при каких обстоятельствах не сообщайте коды подтверждения, полученные по SMS или иным способом от вашего банка;
- никогда, никому, ни при каких обстоятельствах не сообщайте пароли и одноразовые коды от каких бы то ни было своих учётных записей;
- никогда не сообщайте конфиденциальную информацию (например, пароль, кодовое слово и т.п.), даже реальному сотруднику банка, если телефонный звонок был инициирован не вами, даже если вам звонят с телефона банка;
- при возникновении любых сомнений в том, что собеседник не тот за кого себя выдаёт, или в том, что он намеревается заполучить вашу конфиденциальную информацию, перезванивайте сами в банк/оператору связи/хостинг-провайдеру.
Да, чуть не забыл, используйте двухфакторную аутентификацию там, где это возможно. Вы спросите, что же это за зверь такой? Конечно же, я расскажу, но это уже совсем другая история.
← Сезам, откройся! | Содержание | Один фактор — хорошо, а два — вообще норм →